[WAŻNE] Korzystasz z giełd - przeczytaj to!!! - stara wersja

Regulamin forum
1. Wszystkie wykryte krytyczne błędy i luki w oprogramowaniu serwisu zgłaszamy do danego serwisu. Nie publikujemy szczegółów na forum !!! Dopuszczalne jest publikowanie błędów o niskim stopniu zagrożenia oraz możliwych słabych punktów które naruszają podstawowe zasady bezpieczeństwa. np brak SSL
2. Na tym forum zgłaszamy jedynie fakt wykrycia luki z podaniem stopnia zagrożenia - małe/umiarkowane/krytyczne
3. Nie prowadzimy tu luźnych dyskusji i pogaduszek - te będą surowo karane!
4. Wszelkie pomówienia są zakazane !
Weteran
Awatar użytkownika
Posty: 2602
Rejestracja: 11 października 2017
Reputacja: 2732
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: janku66 » poniedziałek, 22 stycznia 2018, 14:45

S.O.S pisze: więc chętnie wysłucham.
Ja przyłączam się do wysłuchania argumentów przeciw.
Kilka razy nazwa LastPass już padła i sam nad tym się zastanawiam.
Obecnie mam w głowie około dziesięciu różnych, skomplikowanych i długich haseł, do tych serwisów często używanych. Każde różniące sie od siebie, są to giełdy, poczta, fora internetowe, banki, windows etc.
Te mniej istotne serwisy mam też chyba w większości różne hasła, ale ich nie pamiętam, a zapisałem w delikatnie zakodowany sposób na kartce.
Jedyne argumenty przeciw LastPass jakie znalazłem są domniemaniem nieuczciwości firmy LastPass.
W tym artykule o tym piszą. Czy faktycznie nie trzymają haseł na swoich serwerach.

http://m.softonet.pl/publikacje/poradni ... damy,409/2

Wygadany
Posty: 562
Rejestracja: 4 listopada 2013
Reputacja: 89
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: S.O.S » poniedziałek, 22 stycznia 2018, 14:51

Kod aplikacji jest zamknięty
To ja chyba jednak skupię się na keepass

Zawsze mam rację
Awatar użytkownika
Posty: 6923
Rejestracja: 15 lutego 2011
Reputacja: 4513
Reputacja postu: 
1
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: ShadowOfHarbringer » poniedziałek, 22 stycznia 2018, 15:02

m.m pisze:internet można "podsłuchać" tylko u operatora lub w węzłach wymiany ruchu a tu mamy ruch tysięcy innych użytkowników więc sniffer będzie potrzebował bardzo dużo szmocy by przeanalizować dane więc bardzo szybko zostanie wykryty.
Chyba, że po prostu włamie się do serwisu mass-mailingowego, co zostało potwierdzone przez ten serwis.

Gdybyś w ogóle przeczytał temat i załączone materiały, to byś to wiedział. Niestety przeczytałeś coś po łebkach, wyrwałeś z kontekstu i nie wiesz nawet o czym rozmawiasz.
m.m pisze:Hasło wycieka 27 grudnia, planowany przelew 5 stycznia, Ty tradycyjnie 1 stycznie zmieniasz wszystkie hasła. Masz rację jest to totalnie zbędne.
Nigdzie nie pisałem w żadnym temacie, że jakiekolwiek hasło mi wyciekło.
m.m pisze:
ShadowOfHarbringer pisze: Do wygodnego przechowywania takich haseł można użyć managera typu lastpass, albo Password Hashera, który wygeneruje Ci z jednego, podstawowego hasła dowolną ilość innych haseł.
Placebo dobra rzecz, tego się trzymaj.
Od razu widać, że rozmawiam z jakimś dzieckiem które o bezpieczeństwie to uczyło się z filmów hakerskich.

Wracaj do piaskownicy, dorosłym zostaw dyskutowanie o bezpieczeństwie.
Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

Początkujący
Posty: 172
Rejestracja: 5 czerwca 2014
Reputacja: 175
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: hashdee » poniedziałek, 22 stycznia 2018, 15:20

jest tyle włamów, ponieważ baza z haveibeenpwned.com była (lub jest nadal) dostępna w sieci do pobrania

Wygadany
Posty: 562
Rejestracja: 4 listopada 2013
Reputacja: 89
Reputacja postu: 
1
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: S.O.S » poniedziałek, 22 stycznia 2018, 15:30

@hashdee, To że baza jest dostępna w sieci to jedno. Inna sprawa, że ludzie używają cały czas tych samych haseł i przede wszystkim do wielu rzeczy jednego hasła. Dochodzi do tego jakość tych haseł i ja bym tutaj szukał wytłumaczenia tych włamań. Trudniejsze hasła i cykliczne zmiany to w tych bardziej odpowiedzialnych zastosowaniach dzisiaj podstawa.

m.m
Początkujący
Posty: 963
Rejestracja: 25 grudnia 2017
Reputacja: -21
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: m.m » poniedziałek, 22 stycznia 2018, 16:21

S.O.S pisze: @m.m, ja bym prosił o rozwinięcie twoich zarzutów w temacie tego rozwiązania.
mając najlepsze oprogramowanie świata a ignorując podstawy i tak jesteś narażony, czynnik ludzki jest tutaj najistotniejszy. Dodatkowe narzędzia są pomocne ale nie idealnie i nie wyeliminują błędów użytkownika.
ShadowOfHarbringer pisze: Od razu widać, że rozmawiam z jakimś dzieckiem które o bezpieczeństwie to uczyło się z filmów hakerskich.
Wracaj do piaskownicy, dorosłym zostaw dyskutowanie o bezpieczeństwie.
I po co te wycieczki osobiste ? nie umiesz normalnie rozmawiać ? argumentów zabrakło ?
ShadowOfHarbringer pisze: Nigdzie nie pisałem w żadnym temacie, że jakiekolwiek hasło mi wyciekło.
to jest przykład, geniuszu :shock:
ShadowOfHarbringer pisze: Chyba, że po prostu włamie się do serwisu mass-mailingowego, co zostało potwierdzone przez ten serwis.
włamanie na serwer nie ma nic wspólnego z przechwytywaniem informacji "w locie" o której pisałeś. Zadałem Ci konkretne "proste" pytanie, oczekuje odpowiedzi.

Żaden poważny serwis oferujący hosting kont pocztowych nie zapisuje haseł otwartym tekstem, hasła są bardzo silnie szyfrowane często w sposób jednostronny, do tego stosuje się rozwiązania typu salt https://en.wikipedia.org/wiki/Salt_(cryptography). Co z tego że hasło wycieknie jak nie jesteśmy w stanie go odszyfrować ?

Oczywiście znam serwisy i rozwiązania komercyjne (panele hostingowe), które hasła trzymają zapisane w sposób tradycyjny, ale jak wspomniałem wyżej mowa o poważnych dostawach usług.

Zawsze mam rację
Awatar użytkownika
Posty: 6923
Rejestracja: 15 lutego 2011
Reputacja: 4513
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: ShadowOfHarbringer » poniedziałek, 22 stycznia 2018, 16:23

m.m pisze:włamanie na serwer nie ma nic wspólnego z przechwytywaniem informacji "w locie" o której pisałeś. Zadałem Ci konkretne "proste" pytanie, oczekuje odpowiedzi.

Żaden poważny serwis oferujący hosting kont pocztowych nie zapisuje haseł otwartym tekstem, hasła są bardzo silnie szyfrowane często w sposób jednostronny, do tego stosuje się rozwiązania typu salt. Co z tego że hasło wycieknie jak nie jesteśmy w stanie go odszyfrować ?
Dalej nie wiesz o czym rozmawiasz, ja o niebie, Ty o chlebie.

Niestety blokuję Cię, nie mam czasu na użeranie się z nowicjuszami.
Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

m.m
Początkujący
Posty: 963
Rejestracja: 25 grudnia 2017
Reputacja: -21
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: m.m » poniedziałek, 22 stycznia 2018, 16:33

ShadowOfHarbringer pisze: Dalej nie wiesz o czym rozmawiasz, ja o niebie, Ty o chlebie.
w przeciwieństwie do odróżniam atak na infrastrukturę od włamania ma serwer. Skoro jesteś taki mądry to nie powinieneś mieć problemu z odpowiedzą na moje pytanie.
ShadowOfHarbringer pisze: Niestety blokuję Cię, nie mam czasu na użeranie się z nowicjuszami.
powiadasz że ranga wprost proporcjonalna do ego

Początkujący
Posty: 3
Rejestracja: 22 stycznia 2018
Reputacja: 12
Reputacja postu: 
12
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: 1236 » poniedziałek, 22 stycznia 2018, 17:15

S.O.S pisze:
m.m pisze: ShadowOfHarbringer pisze:
Przejdź do cytowanego posta Do wygodnego przechowywania takich haseł można użyć managera typu lastpass, albo Password Hashera, który wygeneruje Ci z jednego, podstawowego hasła dowolną ilość innych haseł.

Placebo dobra rzecz, tego się trzymaj.
@m.m, ja bym prosił o rozwinięcie twoich zarzutów w temacie tego rozwiązania. Jak zauważyłem przy okazji ostatnich wydarzeń bardzo często polecany jest keypass jako panaceum na problem wielu haseł. Jeszcze nie korzystam a dopiero zbieram wiedzę na temat zastosowania i słabych punktów więc chętnie wysłucham.
Ja używam Keepass od kilku lat. Nazbierało się ok. 290 haseł. Po kilku latach użytkowania mam kilka spostrzeżeń.
Pierwsza sprawa to że jest się totalnie uzależnionym od bazy haseł, nie zna się praktycznie żadnego hasła. W sytuacji awaryjnej brak możliwości zalogowania się gdziekolwiek na innym komputerze. (O ile to w ogóle dobry pomysł na logowanie się na obcym komputerze). Ale załóżmy że jest to zaufany komputer. Co prawda bazę można otworzyć na telefonie (Keepass2Android) ale staram się tego nie robić. Mam b. stary telefon na który od lat nie ma aktualizacji. Ma przynajmniej kilka nie połatanych luk o których wiem a kto wie ile o których nie wiem. Podsumowując bez komputera ewentualnie telefonu nie zalogujemy się nigdzie.
Kolejna rzecz. Trzeba poświęcać trochę czasu na regularne kopie bazy haseł. Bo w przypadku awarii dysku, kradzieży komputera może być problem i to duży.
Następna sprawa, wszystkie hasła są w jednym miejscu. W przypadku jakiejś luki w systemie albo w samych Keepass można za jednym zamachem stracić wszystkie hasła. Myślę że przynajmniej w przypadku komputerów narażonych na kradzież warto zastanowić się nad pełnym szyfrowaniem dysków.
W sumie przez te lata nie miałem żadnych problemów z Keepass.

Jeśli chodzi ogólnie o bezpieczeństwo sieci to czasy są ciężkie. Ciągle pojawiają się krytyczne bugi. Choćby Meltdown and Spectre. Cały czas do końca nie załatane. W tej chwili już nie można powiedzieć używam tego i tego i jestem w 100% bezpieczny. Lada moment może się pojawić kolejna poważna luka. Myślę że warto też śledzić na bieżąco jakiś serwis branżowy o bezpieczeństwie. Ja co kilka dni odwiedzam niebezpiecznik.pl na bieżąco opisują tam pojawiające się zagrożenia.

PS. To mój pierwszy post więc witam wszystkich!

Zawsze mam rację
Awatar użytkownika
Posty: 6923
Rejestracja: 15 lutego 2011
Reputacja: 4513
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: ShadowOfHarbringer » poniedziałek, 22 stycznia 2018, 18:59

1236 pisze:Ja używam Keepass od kilku lat. Nazbierało się ok. 290 haseł. Po kilku latach użytkowania mam kilka spostrzeżeń.
Pierwsza sprawa to że jest się totalnie uzależnionym od bazy haseł, nie zna się praktycznie żadnego hasła. W sytuacji awaryjnej brak możliwości zalogowania się gdziekolwiek na innym komputerze.
Dlatego właśnie lepszy jest Password Hasher.

Nie trzeba przenosić haseł między urządzeniami, na podstawie jednego głównego hasła generuje Ci nieskończoną ilość zależnych od niego pseudo-losowych(właściwie proceduralnie generowanych) haseł, dla każdej witryny z osobna.

Są wersje na każdą przeglądarkę i androida. Na MacOS pewnie też.

Chodzi o tą wersję, są co najmniej 2 dodatki z taką nazwą:
https://addons.mozilla.org/en-US/firefo ... rd-hasher/

Chrome:
https://chrome.google.com/webstore/deta ... enmgneobfg

Niestety widzę że niekompatybilny z firefox 57, ale pewnie już jakaś alternatywa jest. Ja nie używam tego badziewia 57, więc mi tam rybka.
Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

Wygadany
Posty: 499
Rejestracja: 15 listopada 2016
Reputacja: 79
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: wantwrite2014 » poniedziałek, 22 stycznia 2018, 19:16

Jeśli podczas logowania do portfela danej kryptowaluty np bitocoin kopiuje klucz prywatny z pendriva ze znajdującego się na nim keepas w trypie ofline następnie włączam internet żeby się zalogować do portfela czy w tym czasie może dojść do przechwycenia klucza prywatnego jeśli tak jak się przed tym zabezpieczyć czy keepas ma jakąś funkcję zabezpieczającą?

Początkujący
Posty: 3
Rejestracja: 22 stycznia 2018
Reputacja: 12
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: 1236 » poniedziałek, 22 stycznia 2018, 19:23

ShadowOfHarbringer pisze: Password Hasher
Ciekawe, nie znałem. Przyjrzę się.

Dyskutant
Posty: 178
Rejestracja: 13 czerwca 2014
Reputacja: 33
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: silv7r » poniedziałek, 22 stycznia 2018, 20:43

Bitmar pisze: Jeśli nie macie 2FA to dla hekra ogołocenia waszego konta na giełdzie to już 2 minuty czasu, bez żadnego problemu. Właściwie słowo "haker", jest tu na wyrost, bo na wasze konta na giełdzie (bez 2FA) mogą bez problemu dostać się nastoletni amatorzy.
Rozumiem, że chodzi po prostu o to, że jak ktoś ma nawet inne hasło na giełdzie niż na e-mailu, to ''haker" zrobi restart hasła giełdowego dzięki e-mailowi(opcja na stronie giełdy "nie pamiętam hasła)" tak?
Czy chodzi o to ,że tak łatwo się dostać na konto giełdowe użytkownika ?

Admin
Awatar użytkownika
Posty: 10320
Rejestracja: 13 sierpnia 2011
Reputacja: 5182
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: Bitmar » poniedziałek, 22 stycznia 2018, 20:47

silv7r pisze: Rozumiem, że chodzi po prostu o to, że jak ktoś ma nawet inne hasło na giełdzie niż na e-mailu, to ''haker" zrobi restart hasła giełdowego dzięki e-mailowi(opcja na stronie giełdy "nie pamiętam hasła)" tak?
Tak

m.m
Początkujący
Posty: 963
Rejestracja: 25 grudnia 2017
Reputacja: -21
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: m.m » wtorek, 23 stycznia 2018, 00:03

jak intruz wiąże login z mailem ?

Początkujący
Posty: 22
Rejestracja: 23 stycznia 2018
Reputacja: 5
Reputacja postu: 
-2
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: emesso1 » wtorek, 23 stycznia 2018, 00:31

Wy tu o 2fa, haslach itp itd a i tak gielda was zrobi w jajo inside jobem, ktory ma w d te wasze zabezpieczenia od strony frontendu

Sent from my Redmi 4 using Tapatalk

Zawsze mam rację
Awatar użytkownika
Posty: 6923
Rejestracja: 15 lutego 2011
Reputacja: 4513
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: ShadowOfHarbringer » wtorek, 23 stycznia 2018, 08:50

emesso1 pisze:Wy tu o 2fa, haslach itp itd a i tak gielda was zrobi w jajo inside jobem, ktory ma w d te wasze zabezpieczenia od strony frontendu
Ile razy pisałem, żeby nie trzymać monet na giełdach ?

To, że ludzie nie słuchają mnie to ich problem.
Gotówka P2P da światu wolność. To są jej wrogowie: Bitcoin Core, Blockstream, Lightning Network.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
Klucze GPG/PGP: [3072D/F92EDBA4]

Początkujący
Posty: 6
Rejestracja: 15 stycznia 2018
Reputacja: 0
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: markozpl » wtorek, 23 stycznia 2018, 10:21

Sprawdzałem wycieki z moich kont email...
podana strona wygląda na totalną ściemę... Ciekawe, że wyciekły dane z kont na serwisach na których nigdy tymi kontami się nie logowałem...

Początkujący
Posty: 56
Rejestracja: 11 stycznia 2018
Reputacja: -3
Reputacja postu: 
0
Napiwki za post: 0 BTC

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: Bedmen » wtorek, 23 stycznia 2018, 15:05

ShadowOfHarbringer pisze:
emesso1 pisze:Wy tu o 2fa, haslach itp itd a i tak gielda was zrobi w jajo inside jobem, ktory ma w d te wasze zabezpieczenia od strony frontendu
Ile razy pisałem, żeby nie trzymać monet na giełdach ?

To, że ludzie nie słuchają mnie to ich problem.
Ok. ale jak obracam dziennie na shortach przykładowo kwota 50-60 tys. zł. na wzrostach i spadkach to też nie trzymać na giełdzie?

Dodano po 7 minutach 22 sekundach:
Bitmar pisze:
silv7r pisze: Rozumiem, że chodzi po prostu o to, że jak ktoś ma nawet inne hasło na giełdzie niż na e-mailu, to ''haker" zrobi restart hasła giełdowego dzięki e-mailowi(opcja na stronie giełdy "nie pamiętam hasła)" tak?
Tak
Nie, e-mail mu nie wystarczy, żeby zresetować hasło - nie ma takiej funkcji BITBAY.
Owszem BITBAY ma funkcję resetu hasła, ale do tego nie wystarczy znajomość adresu e-mail i hasła, mianowicie:
haker musi być w posiadaniu loginu, tylko za pomocą loginu da się zrobić reset hasła - sami wypróbujcie to trwa 10 sec cała ta operacja :)

Moje hasło było strasznie skomplikowane w ogóle nie wierzę w to, że jakikolwiek program by to wyłapał jakąś tam metodą bruteforce, mało tego powiem - w zasadzie to nawet rozumiem, dlaczego haker się pomylił je wpisując bo była nieudana próba logowania - przy założeniu, że nie kopiował to ciężko je nawet wpisać :) ręce idzie sobie połamać a o ilości dużych, małych znaków i cyfr i liter nie mówie:) musiał mieć hasło na tacy :) z jakiegoś keyloggera.

Pracownik KWP Katowce - ds. cyberprzestępczości powiedział, że popularnym virusem ostatnio był ZEUS, który podmieniał rachunki przy przelewach bankowych natomiast jakiś czas temu do ZEUSA został dopisany BITBAY, pracownik z którym rozmawiałem jest w ciągłym kontakcie z platformą BITBAY i z nimi się konsultuje we wszystkich sprawach, mało tego wam powiem, jakbyście widzieli co BITBAY odemnie chciał w mailu to byście parskneli śmiechem, proszę bardzo:

ops. przepraszam nie mogę kopiować wiadomości, którą dostałem od BITBAY chyba dobrze rozumiem ten zapis:

"Wiadomość ta oraz wszelkie załączone do niej pliki są tajemnicą nadawcy i mogą być prawnie chronione. Jeżeli nie jest Pan/Pani zamierzonym adresatem niniejszej wiadomości, nie może Pan/Pani jej ujawniać, kopiować, dystrybuować ani tez w żaden inny sposób udostępniać lub wykorzystywać. O błędnym zaadresowaniu wiadomości prosimy niezwłocznie poinformować nadawcę i usunąć wiadomość."

z chęcią bym wam to skopiował, żebyście upadli z krzeseł, ale zinterpretujcie ten zapis czy mi wolno :P

Jeżeli jestem zamierzonym użytkownikiem to mi wolno? czy w przypadku gdy nie jestem zamierzonym użytkownikiem to wtedy nie wolno? bo dziwnie napisane.

Weteran
Posty: 1174
Rejestracja: 18 września 2016
Reputacja: 276
Reputacja postu: 
0
Napiwki za post: 0 BTC
Napiwki: https://tippin.me/@c_witold

[WAŻNE] Korzystasz z giełd - przeczytaj to!!!

Postautor: WitoldC » wtorek, 23 stycznia 2018, 15:34

Bedmen pisze: Jeżeli nie jest Pan/Pani zamierzonym adresatem niniejszej wiadomości, nie może Pan/Pani jej ujawniać

Wróć do „Giełdy i serwisy - zagrożenia”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość