Prijavi se z GoogleID

» »

Googlova phishing obramba na voljo tudi običajnim smrtnikom

Googlova phishing obramba na voljo tudi običajnim smrtnikom

Slo-Tech - Google je pred časom razkril, kako imajo v podjetju poskrbljeno za obrambo zaposlenih pred phishing napadi na njihove uporabniške račune. Zdaj je Titan Security Key prišel tudi v prosto prodajo, te dni ga je moč za 50 dolarjev naročiti v ZDA, kmalu pa naj bi bil na voljo globalno.

Gre za ključek, izdelan po odprtih FIDO standardih, sestavljen je iz dveh fizičnih delov - USB enote in Bluetooth enote, ki skupaj omogočata dvostopenjsko avtentikacijo. Taka metoda U2F (Universal 2nd Factor) velja za precej bolj zanesljivo, kot pa denimo tista s potrditvenim SMSom, ki ga je moč prestreči. Ima pa seveda tudi to slabo lastnost, da gre za fizično napravo, ki jo imetnik lahko izgubi.

Oba dela ključka se med sabo namesto s statično kodo, seznanjata s pomočjo kriptografskega podpisa, ki ga vmes preveri še spletna storitev. Da bi preprečili ekstrakcijo vsebine ključka, je firmware trajno zapečaten v strojno opremo že med samim proizvodnim procesom, kjer čipi nastajajo.

Ključek so v družbi Yubico razvili posebej za Google, programski del pa je celo kar delo Googlovih inženirjev. Tam so ga začeli uporabljati pred osmimi meseci, pred mesecem dni pa so ga začeli razdeljevati tudi ameriškim uporabnikom Google Clouda. Trenutno je podpora U2F še bolj v povojih, a napravo je že moč uporabiti pri prijavi v Google, Dropbox, Facebook, GitHub, Salesforce, Stripe, Twitter in še nekatere druge storitve, ki podpirajo FIDO standarde.

43 komentarjev

euagrus ::

Lol, varnost svojih loginov naj bi torej zaupal firmi, ki si ob uporabi zastonjskega google driva pridrzuje pravicom, da moje fotke publisha in je utemeljila svoj primat na podlagi vsesplosnega vohunjenja za vsemi. Japajade :D :D :D
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

DexterBoy ::

Khm... si nisem misli, da bom še za časa mojega življenja (pa še nisem pri abrahamu), doživel v živo vse orvelove 84, obskurne epizode črnega ogledala, medijskega pranja možgano in podobnih floskul...
Zagotovo bo prodaja letela v nebo. Folku pa ne bo jasno, da bo veliki brat s tem dobil še vsa tista gesla, ki jih do sedaj ni mogel...
Quo Vadis, Homo Sapiens?
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
http://www.avtofil.si/

zee ::

Malo manj dramatično lahko? Podoben ključek ti za podobno ceno proda Yubico.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

tetriandoch ::

Čisto sem ganjen. Veliki brat tako lepo skrbi za nas.

DexterBoy ::

@zee;
Ključek so v družbi Yubico razvili posebej za Google, programski del pa je celo kar delo Googlovih inženirjev.
Naj mi sedaj še nekdo reče, da je to odprtokodni software?
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
http://www.avtofil.si/

euagrus ::

zee je izjavil:

Malo manj dramatično lahko? Podoben ključek ti za podobno ceno proda Yubico.


Ja, in imajo lepo podrt OATH OTP (https://www.yubico.com/why-yubico/how-y..., ki v osnovi ne rabi nicesar razen masino, ki zna uporabljat USB keyboard, pa bo zadeva delovala. FIDO U2F je pa druga zival in je blizje pkcs12 hw tokenom in rabi dejansko software na masini (naj uganem, google engineered =/ in temelji na public/private kljucih, in naj uganem, public kljuc se poslje strani, da lahko overi challange. Seveda U2F podpira zaenkrat samo, ne boste verjeli Chrome-spyware (tm), seveda ne bo delal na firefoxu in drugih "ne-tapravih" browserjih. Hvala lepa, imam mnogo raje sekvenco iz fake keyboarda.
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

Zgodovina sprememb…

  • spremenilo: euagrus ()

c3p0 ::

SMS je možno prestreči, kolikokrat pa se je to že zgodilo, v povezavi z bančnimi prevarami? Nič krat?

euagrus ::

Pa se tole, tu se vsaj da preverit kodo (pustimo ob strani kako) https://krypt.co/ pa verjetno bojo tudi OSS alternative prisle ven.
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

dronyx ::

c3p0 je izjavil:

SMS je možno prestreči, kolikokrat pa se je to že zgodilo, v povezavi z bančnimi prevarami? Nič krat?

Verjetno navadna fizična oseba težko. Razne x črkovne agencije pa z lahkoto. Prava profi rešitev te mora ščititi tudi pred njimi.

Vlayke ::

c3p0 je izjavil:

SMS je možno prestreči, kolikokrat pa se je to že zgodilo, v povezavi z bančnimi prevarami? Nič krat?

V bistvu je to relativno pogosta praksa. Še posebno v povezavi z znanimi tarčami.

Spura ::

Sej SMS je bl shit, ki pa se uporablja zato ker ga uporabljajo lahko tudi budale. Jst za GitHub uporabljam TOTP generator, ki ga inicializiras iz QR kode. Potem pa ne morejo prestrezti nicesar.

njyngs ::

Povej to, da je SMS bullshit, NKBM, ki je v fazi menjavanja RSA ID za SMS token.

Zgodovina sprememb…

  • spremenil: njyngs ()

Spura ::

Ja seveda, kot sem rekel, SMS je prikladen. Ce mas pa ti generator pa ne smes zgubit devicea k mas to gor pa back-up kod, kar predpostavljam da je problem pri folku.

Matthai ::

c3p0 je izjavil:

SMS je možno prestreči, kolikokrat pa se je to že zgodilo, v povezavi z bančnimi prevarami? Nič krat?

Kar pogosto se to dogaja. SS7 napadi so bolj razširjeni kot si večina misli.
All those moments will be lost in time, like tears in rain...
Time to die.

blackbfm ::

euagrus je izjavil:

Lol, varnost svojih loginov naj bi torej zaupal firmi, ki si ob uporabi zastonjskega google driva pridrzuje pravicom, da moje fotke publisha in je utemeljila svoj primat na podlagi vsesplosnega vohunjenja za vsemi. Japajade :D :D :D


a ti dejansko imaš kakšne accounte še kje druge kot na lokalni mašini? :))

AndrejO ::

c3p0 je izjavil:

SMS je možno prestreči, kolikokrat pa se je to že zgodilo, v povezavi z bančnimi prevarami? Nič krat?

Dogaja se non-stop.

Zadnji večji takšen primer je bilo pobiranje denarja iz računov strank TSB-ja v UK.

njyngs je izjavil:

Povej to, da je SMS bullshit, NKBM, ki je v fazi menjavanja RSA ID za SMS token.

Edini učinkovit način "glasovanja" je glasovanje z denarnico.

In ja, SMS 2FA je v današnjih dnevih zajamčen bulšit. Praktičen, enostaven in bulšit od anti-varnosti.

Zgodovina sprememb…

  • spremenil: AndrejO ()

SeMiNeSanja ::

AndrejO je izjavil:


In ja, SMS 2FA je v današnjih dnevih zajamčen bulšit. Praktičen, enostaven in bulšit od anti-varnosti.

Že res..... ampak zanimivo bi pa vseeno bilo izvedeti kaj več o 'ozadju' te briljantne ideje v NKBM.

Nekako se mi zdi, da so tu v ozadju kakšni mutni posli.

Mogoče je res, da se pri nas ne da izogniti mutnim poslom... ampak za boga milega, zakaj potem ne mučkajo s kakšno res sodobno rešitvijo, ne pa z zadevo od katere vsi drugi že lep čas proč bežijo?

Da pa nebi vse skupaj izgledalo kot totalni fail, si potem izmislijo fancy naziv 'SMS žeton'..... Z novim imenom je pa vse skupaj bolj moderno, napredno, varno,....?

SeMiNeSanja ::

Pa še to.....

Naslov teme "phishing obramba" se mi zdi kar precej ponesrečen.

Poanta phishinga je v tem, da uporabnika naplahtaš, da bo naredil nekaj, kar mu sicer nebi padlo na pamet, če bi poznal vse okoliščine.

Seveda tudi posredovanje gesla nigerijskemu princu spada pod phishing, je pa to zgolj ena od oblik prevar.

Zadnje čase so očitno spet na udaru tzv. direktorske prevare, kjer "direktor" po mailu nekomu iz podjetja naroči nujno nakazilo na nek xy račun.
Verjetno gre to z roko v roki s sezono dopustov, ko računovodja ne upa direktorja motiti na dopustu, da bi telefonsko preveril pristnost take zahteve.

Točno pri teh vrstah prevar zgoraj omenjeni ključki in vse okoli varnosti gesel ne pomaga prav nič. Pomaga edino ozaveščanje. Morda bi še pomagalo dvojno podpisovanje transakcij (računovodja + direktor) vendar se tam ponavadi podpisuje 'pakete transakcij', kjer se zlahka skrije tudi kakšno gnilo jajce.

euagrus ::

blackbfm je izjavil:

euagrus je izjavil:

Lol, varnost svojih loginov naj bi torej zaupal firmi, ki si ob uporabi zastonjskega google driva pridrzuje pravicom, da moje fotke publisha in je utemeljila svoj primat na podlagi vsesplosnega vohunjenja za vsemi. Japajade :D :D :D


a ti dejansko imaš kakšne accounte še kje druge kot na lokalni mašini? :))


O seveda, na vsaki strani, ki jo uporabljam, vec njih... :))

SeMiNeSanja je izjavil:

AndrejO je izjavil:


In ja, SMS 2FA je v današnjih dnevih zajamčen bulšit. Praktičen, enostaven in bulšit od anti-varnosti.

Že res..... ampak zanimivo bi pa vseeno bilo izvedeti kaj več o 'ozadju' te briljantne ideje v NKBM.

Nekako se mi zdi, da so tu v ozadju kakšni mutni posli.

Mogoče je res, da se pri nas ne da izogniti mutnim poslom... ampak za boga milega, zakaj potem ne mučkajo s kakšno res sodobno rešitvijo, ne pa z zadevo od katere vsi drugi že lep čas proč bežijo?

Da pa nebi vse skupaj izgledalo kot totalni fail, si potem izmislijo fancy naziv 'SMS žeton'..... Z novim imenom je pa vse skupaj bolj moderno, napredno, varno,....?


V osnovi "two factor" authentikacija preko SMSa ni namenjena varnosti. Namenjena je, da firma (kot npr. fb, google), dobi od vas identifikacijo (za email, glej odgovor zgoraj ;) ), ki je ni preprosto zamenjat. Tudi kreditne kartice se menjajo bolj pogosto kot telefonska stevilka, pa tudi ce jo hoces je zadeva hudo zoprna.
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

Zgodovina sprememb…

  • spremenilo: euagrus ()

AndrejO ::

SeMiNeSanja je izjavil:

AndrejO je izjavil:


In ja, SMS 2FA je v današnjih dnevih zajamčen bulšit. Praktičen, enostaven in bulšit od anti-varnosti.

Že res..... ampak zanimivo bi pa vseeno bilo izvedeti kaj več o 'ozadju' te briljantne ideje v NKBM.

Jaz bi stavil na to, da je stvar izmed vseh 2FA sistemov še najcenejša iz vidika CAPEX in OPEX.

SeMiNeSanja je izjavil:

Pa še to.....

Naslov teme "phishing obramba" se mi zdi kar precej ponesrečen.

Poanta phishinga je v tem, da uporabnika naplahtaš, da bo naredil nekaj, kar mu sicer nebi padlo na pamet, če bi poznal vse okoliščine.

Če imaš 2FA, potem si nekdo, ki ima tvoje podatke, z njimi ne more preveč pomagati v smeri, da bi dobil še tvoj denar (ali pa FB account, kar ti je pač bolj dragoceno).

SeMiNeSanja je izjavil:


Točno pri teh vrstah prevar zgoraj omenjeni ključki in vse okoli varnosti gesel ne pomaga prav nič.

Lahko ti dam testno ime in geslo na mojem 2FA sistemu. Koliko uspeha misliš, da boš imel pri tem, da boš lahko dostopil do mojega sistema brez drugega faktorja, ki ga pač nimaš v rokah, ker ga imam v rokah jaz?

Zgodovina sprememb…

  • spremenil: AndrejO ()

MrNighthawk ::

euagrus je izjavil:

Lol, varnost svojih loginov naj bi torej zaupal firmi, ki si ob uporabi zastonjskega google driva pridrzuje pravicom, da moje fotke publisha in je utemeljila svoj primat na podlagi vsesplosnega vohunjenja za vsemi. Japajade :D :D :D


kje piše da jih lahko objavlja in komu jih že je?

SeMiNeSanja ::

AndrejO je izjavil:


Lahko ti dam testno ime in geslo na mojem 2FA sistemu. Koliko uspeha misliš, da boš imel pri tem, da boš lahko dostopil do mojega sistema brez drugega faktorja, ki ga pač nimaš v rokah, ker ga imam v rokah jaz?

Nisi me razumel.
Nisem izražal dvoma v 2FA (razen SMS variante) in mi ni jasno, kako si uspel moj text tako interpretirat.

Rekel sem, da so zadnji čas v porastu 'direktorske prevare', ki tudi spadajo pod pojem 'phishing' oz. še bolj konkretno 'spear phishing'. Pri teh prevarah pa ne pomaga noben 2FA, saj se barabin ne bo nikoli prijavljal nekam. Vse to izvede kar tisti, ki dejansko ima vse 'faktorje', v svetem prepričanju, da počne točno to, kar njegov nadrejeni hoče od njega. V resnici pa nadrejeni o vsem tem ne ve nič....

AndrejO ::

@SeMiNeSanja: Ups, ja. Facepalm, ker nisem prebral vsega.

euagrus ::

MrNighthawk je izjavil:

euagrus je izjavil:

Lol, varnost svojih loginov naj bi torej zaupal firmi, ki si ob uporabi zastonjskega google driva pridrzuje pravicom, da moje fotke publisha in je utemeljila svoj primat na podlagi vsesplosnega vohunjenja za vsemi. Japajade :D :D :D


kje piše da jih lahko objavlja in komu jih že je?


Tule in strinjal si se:


When you upload or otherwise submit content to our Services, you give Google (and those we work with) a worldwide licence to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes that we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content.


Naj uganem, kot vecina imas gor vse fotke. Heba.
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

Zgodovina sprememb…

  • spremenilo: euagrus ()

jype ::

euagrus je izjavil:

Naj uganem, kot vecina imas gor vse fotke. Heba.
Če ti kaj prav pride: https://github.com/idioterna/iscp

euagrus ::

jype je izjavil:

euagrus je izjavil:

Naj uganem, kot vecina imas gor vse fotke. Heba.
Če ti kaj prav pride: https://github.com/idioterna/iscp


Hvala ampak nekako nisem fan resizanja na telefou, sicer pa uporabljam tole: https://gitlab.com/fengshaun/syncopoli
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

Zgodovina sprememb…

  • spremenilo: euagrus ()

blackbfm ::


When you upload or otherwise submit content to our Services, you give Google (and those we work with) a worldwide licence to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes that we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content.


Naj uganem, kot vecina imas gor vse fotke. Heba.


Spet se trudiš prikazat stvari izven konteksta. Brez nekega takega dogovora tehnično ni mozno uporabljat tuje infrastrukture za gostovanje. Če bi google prostovoljno delil fotke uporabnikov je to prej strel v koleno kot pa kaksna korist. Bi pa mogla bit se vseeno kaksna varovalka (zakonsko gledano).

Zgodovina sprememb…

  • spremenilo: blackbfm ()

euagrus ::

blackbfm je izjavil:


When you upload or otherwise submit content to our Services, you give Google (and those we work with) a worldwide licence to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes that we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content.


Naj uganem, kot vecina imas gor vse fotke. Heba.


Spet se trudiš prikazat stvari izven konteksta. Brez nekega takega dogovora tehnično ni mozno uporabljat tuje infrastrukture za gostovanje. Če bi google prostovoljno delil fotke uporabnikov je to prej strel v koleno kot pa kaksna korist. Bi pa mogla bit se vseeno kaksna varovalka (zakonsko gledano).


Lol, ti pa si naivec :D :D :D "If it walks like a duck and quacks like a duck, potem je tehnicno neizvedljivo, da bi bila raca, in zagotovo so zakonske varovalke, da bi bila to raca.

Mimogrede ce google drive placas, te postavke ni.

Hvala se rece! Brez, da bi vam nalepil niti vedeli ne bi.
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

Zgodovina sprememb…

  • spremenilo: euagrus ()

blackbfm ::

Hud argument. Čestitam.

euagrus ::

blackbfm je izjavil:

Hud argument. Čestitam.


A tega si mislil: "Mimogrede ce google drive placas, te postavke ni"?

Zgleda, da zadeva ni tehnicna omejitev :D Pa pravna tudi ne :D No kaj si bos izmislil za se en izgovor fanboycek, da je postavka tam po pomoti? :D

Neverjetno kako dalec grejo nekateri da si ohranijo iluzijo, da je pa nek brand dobronameren :D

Na, da bos razumel zakaj: https://www.businessnewsdaily.com/3702-...
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

Zgodovina sprememb…

  • spremenilo: euagrus ()

blackbfm ::

Neverjetno kako dalec grejo nekateri da si ohranijo iluzijo, da je pa nek brand dobronameren :D


Seveda te iluzije delujejo tudi kontra

euagrus ::

blackbfm je izjavil:

Neverjetno kako dalec grejo nekateri da si ohranijo iluzijo, da je pa nek brand dobronameren :D


Seveda te iluzije delujejo tudi kontra


Nisi prebral, PREBERI! Aja tocno, sorry, je vec kot 5 vrstic. Podobno kot googlovih pogojev uporabe. ;) Pa na prvi strani imas se en clanek o googlovemu vtikanju v osebne finance, kar zacni si izmisljevati izgovore, imas kaksne dve uri fore, preden zacnem pisat... ;)
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

Zgodovina sprememb…

  • spremenilo: euagrus ()

jype ::

euagrus je izjavil:

nekako nisem fan resizanja na telefou
Ja, saj je shitty - omogoča pa instant pošiljanje ravno ustvarjene fotke na način, ki gre mimo vse infrastrukture velikanov.

Zgodovina sprememb…

  • spremenilo: jype ()

euagrus ::

jype je izjavil:

euagrus je izjavil:

nekako nisem fan resizanja na telefou
Ja, saj je shitty - je pa instant način, kako fotko pošlješ nekomu na način, ki gre mimo vse infrastrukture velikanov.


Hm, ok, sicer imam ta del urejen, dir, ki je omejen na ip range slovenskih ispjev pa fajl se brise po prvem obisku), ampak ok, bom pogledal, sem mislil, da je samo sync tool... hvala.
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

Zgodovina sprememb…

  • spremenilo: euagrus ()

jype ::

Saj če imaš rsync potem to že dela, je morda le malo manj neroden za uporabo (ko je skonfigurirano):

1. narediš fotko
2. klikneš share, izbereš iscp, natipkaš ime
3. pejstneš link kamorkoli že, recimo na slo-tech:

MrNighthawk ::

euagrus je izjavil:

Naj uganem, kot vecina imas gor vse fotke. Heba.


Niti ene.

ender ::

There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Evolve ::

nimate pojma...

euagrus ::

ender je izjavil:

Experts Call for Transparency Around Google's Chinese-Made Security Keys


“I should not have to wait until Black Hat next year to find answers to these questions from an unaffiliated third-party,” he added.
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

euagrus ::

No toliko o tem, google je spet izpadel totalen salabajzer:
https://www.zdnet.com/article/google-la...
In regione caecorum rex est luscus.
Ker me je nekaj slotechovcev sprasevalo:
https://github.com/cullum/dank-selfhosted

Matthai ::

Sem zelo na hitro prebral vse skupaj, ampak na prvo žogo vidim kup jamranja o tem kako je Google začel razvijati Chona-compliant iskalnik in potem to dejstvo povezujejo s tem, da so tisti smatkeyi proizvajani na Kitajskem.

Vprašanji pa sta seveda samo dve:
1) ali je dejansko že kdo uspel najti backdoor v teh ključkih?
2) ali sta ves hardware in firmware opensourcana da se lahko prepričamo, da so ključki kosher? Ker zaradi mene so lahko proizvedeni tudi v ZDA ali v Rusiji, pa jim ne bom prav nič bolj zaupal.
All those moments will be lost in time, like tears in rain...
Time to die.

Mavrik ::

Ne, hardware in firmware nista opensourcana.
The truth is rarely pure and never simple.

Matthai ::

No, to je sicer zelo slabo, ampak tisto jamranje o Kitajcih bi lahko nadomestili tudi z jamranjem o Američanih, Britancih, Nemcih,...
All those moments will be lost in time, like tears in rain...
Time to die.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

NLB ukinitev certifikatov ? (strani: 1 2 3 4 )

Oddelek: Loža
15012098 (4910) Apple
»

Googlova phishing obramba na voljo tudi običajnim smrtnikom

Oddelek: Novice / Varnost
434513 (1433) Matthai
»

Backup in uvoz SIGEN-CA certifikata

Oddelek: Omrežja in internet
141846 (1387) jukoz
»

Google ponudil bistveno strožjo zaščito računov

Oddelek: Novice / Varnost
103663 (2208) Kenpachi
»

Problem z routerjem

Oddelek: Omrežja in internet
18786 (453) whiteghosted

Več podobnih tem