Uważajcie na trojany/hakerów

Początkujący
Posty: 25
Rejestracja: 4 maja 2017
Reputacja: 9
Reputacja postu: 
0
Napiwki za post: 0 BTC

Uważajcie na trojany/hakerów

Postautor: cement00 » środa, 13 września 2017, 11:41

Harey pisze:Przejdź do cytowanego posta

Szczerze? Nie rozumiem kompletnie, jakie to daje dodatkowe furtki na włamanie - konto z 2FA i kodami w stosunku do konta bez 2FA.


w stosunku do konta z 2FA, ale bez jednorazowych kodów. Widocznie sie nie zrozumielismy, nie neguje słuszności 2FA, jest to mechanizm potrzebny i dlatego chciałbym, aby był zależny tylko i wyłącznie od kodów, ktore się zmieniają co 30s bez puli kodów aktywnych cały czas.

Moderator
Awatar użytkownika
Posty: 7327
Rejestracja: 16 lutego 2013
Reputacja: 593
Reputacja postu: 
0
Napiwki za post: 0 BTC

Uważajcie na trojany/hakerów

Postautor: Bit-els » środa, 13 września 2017, 11:55

Jesli zakładasz, ze ktoś dorwie siè do tych kodów ratunkowych to podobnie bedziesz bezbronny jeśli pozna kod inicjujàcy 2fa.
Bitcoin for Polish Charity
https://bitmarket.pl/charity/
wesprzyj, propaguj

Polski operator płatności btc
https://inpay.pl/

Moderator
Awatar użytkownika
Posty: 11043
Rejestracja: 16 kwietnia 2012
Reputacja: 867
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Polska / Gorzów Wlkp.

Uważajcie na trojany/hakerów

Postautor: rav3n_pl » środa, 13 września 2017, 12:50

@Bit-els, co jest u Ciebie z naszymi znakami? Od jakiegoś czasu masz ogonki u góry xD
@cement00, bez 2FA (jeżeli jest dostępne) prosisz się o kłopoty. GA nie jest złe, U2F jest lepsze (le mało kto ma).
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni  NIE używaj Bitcoin CORE jeżeli używasz BTC po raz pierwszy blockchain.INFO to zuooo!
Mój Skydrive; Klient Bitcoin Core v0.14.1; Trochę o P2pool; C#: Bitmarket SwapBot, RPC CoinControl, BIP39 Mnemonic z talii kart

Moderator
Awatar użytkownika
Posty: 7327
Rejestracja: 16 lutego 2013
Reputacja: 593
Reputacja postu: 
0
Napiwki za post: 0 BTC

Uważajcie na trojany/hakerów

Postautor: Bit-els » środa, 13 września 2017, 17:28

@rav3n_pl, gdy szybko piszè, to czasem literki wariujà ;-)

Ok, będę się starał
Bitcoin for Polish Charity
https://bitmarket.pl/charity/
wesprzyj, propaguj

Polski operator płatności btc
https://inpay.pl/

Zawsze mam rację
Awatar użytkownika
Posty: 3366
Rejestracja: 15 lutego 2011
Reputacja: 350
Reputacja postu: 
1
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

Uważajcie na trojany/hakerów

Postautor: ShadowOfHarbringer » środa, 13 września 2017, 18:26

rav3n_pl pisze:@Bit-els, co jest u Ciebie z naszymi znakami? Od jakiegoś czasu masz ogonki u góry xD
@cement00, bez 2FA (jeżeli jest dostępne) prosisz się o kłopoty.
No nie wiem, ja nie mam żadnego 2FA na żadnym koncie nigdzie, a mam tych kont kilkadziesiąt (w tym kilkanaście adresów email i ok. dzisięciu kont na giełdach) i nigdy nic mi się nie przytrafiło.

No ale we sumie to jestem hakerem, crypto-geekiem i zajmuję się bezpieczeństwem komputerowym.

Także owszem, da się bez tego żyć (ekhm, jeżeli ktoś WIE CO ROBI) ale nie jest to zalecane.
"A poza tym uważam, że Bitcoin Core i SegWit powinny zostać zniszczone"

{{ Bitcoin.pl Elite Member, Bitcointalk ★Legendary★ [1344] }}
Klucze GPG/PGP: [3072D/F92EDBA4]

Początkujący
Posty: 114
Rejestracja: 4 lipca 2017
Reputacja: 18
Reputacja postu: 
0
Napiwki za post: 0 BTC

Uważajcie na trojany/hakerów

Postautor: Harey » środa, 13 września 2017, 19:25

ShadowOfHarbringer pisze:Przejdź do cytowanego posta jeżeli ktoś WIE CO ROBI

Wszystko co piszesz jest prawdą, wiedza to potęga - od odpowiednio skonfigurowanego środowiska, poprzez brak reakcji na ataki socjotechniczne itd., ale ...

Wątpliwość mam tylko jedną, człowiek jest omylny - znane są przypadki znakomitych hakerów (a może powinienem napisać crackerów), którzy wpadli tylko dlatego, że wpisali coś nie w tym oknie, tylko raz, ten jedyny raz. Saper myli się raz.

Zmęczenie, roztargnienie - czasem człowiek musi się zabezpieczyć przed samym sobą.

Zawsze mam rację
Awatar użytkownika
Posty: 3366
Rejestracja: 15 lutego 2011
Reputacja: 350
Reputacja postu: 
9
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

Uważajcie na trojany/hakerów

Postautor: ShadowOfHarbringer » czwartek, 14 września 2017, 00:07

Harey pisze:
ShadowOfHarbringer pisze:Przejdź do cytowanego posta jeżeli ktoś WIE CO ROBI

Wszystko co piszesz jest prawdą, wiedza to potęga - od odpowiednio skonfigurowanego środowiska, poprzez brak reakcji na ataki socjotechniczne itd., ale ...

Wątpliwość mam tylko jedną, człowiek jest omylny - znane są przypadki znakomitych hakerów (a może powinienem napisać crackerów), którzy wpadli tylko dlatego, że wpisali coś nie w tym oknie, tylko raz, ten jedyny raz. Saper myli się raz.

Zmęczenie, roztargnienie - czasem człowiek musi się zabezpieczyć przed samym sobą.
Moje główne zabezpieczenie to posiadanie kilkudzisięciu różnych osobowości - wiele z nich z osobnym emailem i kontami na różnych serwisach.

Wszystkie te osobowości nie są ze sobą w żaden sposób powiązane.

Osobowości są podzielone na kategorie - osobne są do normalnego przeglądania internetu, osobne do przeglądania TOR'a, osobne do Bitcoina, na każdym serwisie mam inny nickname i często inny email etc.

Każda osobowość ma też osobne hasła - całe szczęście nie trzeba wszystkich pamiętać, bo są rozszerzenia takie jak Password Hasher (są kompatybilne odpowiedniki na Chrome i Androida), które magicznie tworzą z jednego hasła nieskończoną ilość różnych haseł, w zależności od serwisu.

Oczywiście "haseł bazowych" też mam kilkanaście różnych, ale tylko 5-7 używam na co dzień. Każde hasło ma co najmniej 15 znaków, w tym często znaki alfanumeryczne i znaki specjalne.

Maile podzielone są na maile całkowcie anonimowe (via TOR), maile częściowo anonimowe (nikt ich nie zna poza bardzo wąską grupą znajomych z określonego wycinka mojego życia), maile prawie-publiczne, których używam na bardziej zaufanych serwisach, oraz jeden publiczny mail - spamowy, którego mogę rozdawać byle gdzie i rejestrować się nim na różnych dzikich forach etc.

Generalnie najważniejsze z tych wszystkich rzeczy jest to, abyś miał na każdym serwisie (forum, facebooku) inny nickname, inne hasło i ewentualnie inny mail - to daje jakieś 80% bezpieczeństwa IMHO. W razie włamów na Twoje konto gdziekolwiek, złodziej nie ma nic. Ani Twojego hasła, ani Twojej osobowości w prawdziwym życiu, ani nawet Twojego maila. Drastycznie utrudnia to ataki socjotechniczne, bo każdy serwis internetowy, którego używasz ma tylko niewielki wycinek Twojego "ja" - za mało do przeprowadzenia ataku.

Kolejne 15% to moim zdaniem fakt, że pobieram wszystkie emaile na Thunderbirda z użyciem protokołu POP3, więc na moim emailu nie zalegają żadne wrażliwe informacje zbyt długo (w razie włamu na skrzynkę pocztową).

Pozostałe zabiegi to IMHO koło 5%.

Więc generalnie, zmieniając trochę swoje przyzwyczajenia i instalując niewielką ilość ekstra oprogramowania jesteś w stanie mieć prawie taki sam poziom bezpieczeństwa jak ja mam.

EDIT:
PS. O używaniu Linuksa nawet nie wspominałem, to było trochę zbyt oczywiste.
"A poza tym uważam, że Bitcoin Core i SegWit powinny zostać zniszczone"

{{ Bitcoin.pl Elite Member, Bitcointalk ★Legendary★ [1344] }}
Klucze GPG/PGP: [3072D/F92EDBA4]

Weteran
Posty: 4865
Rejestracja: 1 marca 2015
Reputacja: 178
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: WLKP/Dolny Śl./Lubus

Uważajcie na trojany/hakerów

Postautor: adam1226 » czwartek, 14 września 2017, 05:43

ShadowOfHarbringer pisze:Przejdź do cytowanego posta pobieram wszystkie emaile na Thunderbirda z użyciem protokołu POP3, więc na moim emailu nie zalegają żadne wrażliwe informacje zbyt długo (w razie włamu na skrzynkę pocztową).

W takim ukladzie musisz miec pewnie rozbudowany system robienia backupow..

Jest jakis sposob do automatyzacji tworzenia maili i hasel?
Najlepszy byłby kombajn ktory tworzy do kazdego serwisu osobny mail..

ShadowOfHarbringer pisze:Przejdź do cytowanego posta Password Hasher (

A ten keepass gorszy?
Ja poki co polegam na metodzie kartkowo-pamięciowej ale ma ona swoje ograniczenia

Początkujący
Posty: 114
Rejestracja: 4 lipca 2017
Reputacja: 18
Reputacja postu: 
0
Napiwki za post: 0 BTC

Uważajcie na trojany/hakerów

Postautor: Harey » czwartek, 14 września 2017, 06:27

ShadowOfHarbringer pisze:Przejdź do cytowanego posta Moje główne zabezpieczenie to posiadanie kilkudzisięciu różnych osobowości

ShadowOfHarbringer pisze:Przejdź do cytowanego posta Wszystkie te osobowości nie są ze sobą w żaden sposób powiązane.

Stylometria? Tutaj wyjaśnienie dla osób mniej obeznanych z tematem:

Kod: Zaznacz cały

https://zaufanatrzeciastrona.pl/post/rozpoznawanie-autorow-anonimowych-tekstow/
Browser fingerprint?

ShadowOfHarbringer pisze:Przejdź do cytowanego posta rozszerzenia takie jak Password Hasher (są kompatybilne odpowiedniki na Chrome i Androida), które magicznie tworzą z jednego hasła nieskończoną ilość różnych haseł, w zależności od serwisu.

nie znałem tego a jest świetne. Koncepcja mi się podoba - do mniej wrażliwych zastosowań idealne. Dzięki.
sprawdziłem pod FF - też działa.

ShadowOfHarbringer pisze:Przejdź do cytowanego posta Generalnie najważniejsze z tych wszystkich rzeczy jest to, abyś miał na każdym serwisie (forum, facebooku) inny nickname, inne hasło i ewentualnie inny mail - to daje jakieś 80% bezpieczeństwa IMHO. W razie włamów na Twoje konto gdziekolwiek, złodziej nie ma nic. Ani Twojego hasła, ani Twojej osobowości w prawdziwym życiu, ani nawet Twojego maila.

Zgoda w 100 procentach. Przykładowy powód:

Kod: Zaznacz cały

https://niebezpiecznik.pl/post/gmail-lista-5-milionow-kont-loginy-i-hasla-opublikowana-w-internecie/

ShadowOfHarbringer pisze:Przejdź do cytowanego posta Kolejne 15% to moim zdaniem fakt, że pobieram wszystkie emaile na Thunderbirda z użyciem protokołu POP3, więc na moim emailu nie zalegają żadne wrażliwe informacje zbyt długo (w razie włamu na skrzynkę pocztową).

To jest też ciekawe rozwiązanie.
adam1226 pisze:Przejdź do cytowanego posta Najlepszy byłby kombajn ktory tworzy do kazdego serwisu osobny mail..

tutaj możesz sobie kupić gotowe konta

Kod: Zaznacz cały

https://buyaccs.com/en/
np. 1000 gmail :mrgreen:

Zawsze mam rację
Awatar użytkownika
Posty: 3366
Rejestracja: 15 lutego 2011
Reputacja: 350
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

Uważajcie na trojany/hakerów

Postautor: ShadowOfHarbringer » czwartek, 14 września 2017, 07:16

Harey pisze:
ShadowOfHarbringer pisze:Przejdź do cytowanego posta Moje główne zabezpieczenie to posiadanie kilkudzisięciu różnych osobowości

ShadowOfHarbringer pisze:Przejdź do cytowanego posta Wszystkie te osobowości nie są ze sobą w żaden sposób powiązane.

Stylometria? Tutaj wyjaśnienie dla osób mniej obeznanych z tematem:

Kod: Zaznacz cały

https://zaufanatrzeciastrona.pl/post/rozpoznawanie-autorow-anonimowych-tekstow/
Browser fingerprint?
1. Tylko kilku z tych osobowości używam do pisania czegokolwiek na otwartym internecie, więc rozpoznanie mnie z użyciem stylometrii jest bliskie niemożliwości.

2. Owszem, można rozpoznać te kilka osobowości którymi piszę w otwartym necie, ale potrzeba potęgi takiej jak NSA lub co najmniej Google żeby to zrobić. Nikt inny nie jest w stanie bo nie ma możliwości technicznych.
Nie jestem Satoshim ani wysoko postawionym agentem służb żeby przejmować się aż tak tym co piszę na necie.

Jeżeli którąś moją osobowością chcę coś napisać NAPRAWDĘ anonimowo (raczej prawie nigdy się to nie zdarza jak wyżej napisałem), przepuszczam tekst parę razy przez Google Translate (psuje to stylometrię), albo ewentualnie przyjmuję inny styl pisma, zaczynam robić specjalnie błędy ortograficzne, nie trzymam się szyku zdania, olewam interpunkcję oraz generalnie piszę jakbym pochodził ze środowiska patologicznego albo był uczniem gimnazjum etc :P.
Można połączyć te 2 metody co daje blisko 100-procentową pewność.

3. Co do browser fingerprinting, łatwo się to załatwia. Lista rozszerzeń (Mozilla Firefox, nie wiem czy wszystkie mają odpowiedniki w Chrome):
- Noscript (duh)
- Random Agent Spoofer (oprócz useragenta zmienia też inne rzeczy identyfikujące przeglądarkę)
- BetterPrivacy (Kasuje automatycznie wszystkie ciastka, nawet LocalStorage)
- Self-Destructing Cookies do automatycznego kasowania ciastek, CookieSwap do przełączania między zestawami ciastek albo obydwa
"A poza tym uważam, że Bitcoin Core i SegWit powinny zostać zniszczone"

{{ Bitcoin.pl Elite Member, Bitcointalk ★Legendary★ [1344] }}
Klucze GPG/PGP: [3072D/F92EDBA4]

Moderator
Awatar użytkownika
Posty: 7327
Rejestracja: 16 lutego 2013
Reputacja: 593
Reputacja postu: 
0
Napiwki za post: 0 BTC

Uważajcie na trojany/hakerów

Postautor: Bit-els » czwartek, 14 września 2017, 08:05

@ShadowOfHarbringer, ten sposób generowania haseł jest genialny! Można być w głuszy, i tylko z dostępem do netu, i nie traci się dojscia do swych kont.
Jakieś słabe punkty tego systemu?
Bo teoretycznie muszę tylko pamiętać jedno jedyne hasło, które jest częścią hashowanego hasła do serwisu.
Bitcoin for Polish Charity
https://bitmarket.pl/charity/
wesprzyj, propaguj

Polski operator płatności btc
https://inpay.pl/

Zawsze mam rację
Awatar użytkownika
Posty: 3366
Rejestracja: 15 lutego 2011
Reputacja: 350
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

Uważajcie na trojany/hakerów

Postautor: ShadowOfHarbringer » czwartek, 14 września 2017, 08:18

Bit-els pisze:@ShadowOfHarbringer, ten sposób generowania haseł jest genialny! Można być w głuszy, i tylko z dostępem do netu, i nie traci się dojscia do swych kont.
Jakieś słabe punkty tego systemu?
Bo teoretycznie muszę tylko pamiętać jedno jedyne hasło, które jest częścią hashowanego hasła do serwisu.
Zobacz „Password Hash”
https://play.google.com/store/apps/deta ... er.PwdHash
Ten system (rozszerzenie) jest stare jak świat (chyba z 10 lat tego używam na Firefoksie), prawdopodobnie nie ma żadnych słabych punktów bo już by to wyszło.

Używane(Generowane) przeze mnie hasła mają maksymalną długość - 26 znaków. Do wyboru też znaki specjalne/cyfry lub ich brak.

Gdyby takie rozszerzenie nie istniało, sam musiałbym je napisać. Jest to tak użyteczne, że nie da się bez tego żyć.

Bit-Els: UWAGA!! Podałeś linka do złego rozszerzenia. Nie jest kompatybilne z password hasherem. Tutaj właściwe linki:

Firefox: https://addons.mozilla.org/en-US/firefo ... rd-hasher/
Chrome: https://chrome.google.com/webstore/deta ... enmgneobfg
Android: https://play.google.com/store/apps/deta ... shit&hl=pl

Chrome(alternatywa): https://chrome.google.com/webstore/deta ... enmgneobfg
"A poza tym uważam, że Bitcoin Core i SegWit powinny zostać zniszczone"

{{ Bitcoin.pl Elite Member, Bitcointalk ★Legendary★ [1344] }}
Klucze GPG/PGP: [3072D/F92EDBA4]

Moderator
Awatar użytkownika
Posty: 7327
Rejestracja: 16 lutego 2013
Reputacja: 593
Reputacja postu: 
0
Napiwki za post: 0 BTC

Uważajcie na trojany/hakerów

Postautor: Bit-els » czwartek, 14 września 2017, 08:19

No tak. Do tego nie trzeba nawet tego programiku. Wystarczy koncepcja:
Bierzemy generator md5. Aplikacja lub na www. Wpisujemy serwis. Np onet.pl
Dopisujemy nasze hasło (proste, żeby zapamiętać "bitcoin"
Otrzymujemy hash.

W sumie nasze hasło jest jakby solą, tak?

Ale jednak nie może być zbyt banalne, bo teoretycznie może powstać program, który bedzie łamał hasła stosując tę zasadę.

Dodano po 8 minutach 38 sekundach:
@ShadowOfHarbringer, dzięki. Usunąłem błędny.
1 uwaga. Do maili sól ktora jest prostym mnemotycznym hasłem styknie. Bo do serwisów masz kilka logowań i schluss. Ale gdyby chcieć tak stworzyć brain walleta to znów jest problem. Sól musi być bardzo skomplikowana . Bo inaczej łamacze brain walletów w przyszłości rozwalą takie hasło

Dodano po 2 minutach 14 sekundach:
A trudna sól to problem dla pamięci. Czyli nie da się stworzyć 100 % pewnego braina nie używając tego typu frazy:
vGP2DHXlm##BelL&

A tego normalny człowiek nie zapamięta
Bitcoin for Polish Charity
https://bitmarket.pl/charity/
wesprzyj, propaguj

Polski operator płatności btc
https://inpay.pl/

Zawsze mam rację
Awatar użytkownika
Posty: 3366
Rejestracja: 15 lutego 2011
Reputacja: 350
Reputacja postu: 
1
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

Uważajcie na trojany/hakerów

Postautor: ShadowOfHarbringer » czwartek, 14 września 2017, 08:47

Bit-els pisze:1 uwaga. Do maili sól ktora jest prostym mnemotycznym hasłem styknie. Bo do serwisów masz kilka logowań i schluss. Ale gdyby chcieć tak stworzyć brain walleta to znów jest problem. Sól musi być bardzo skomplikowana . Bo inaczej łamacze brain walletów w przyszłości rozwalą takie hasło

1. Są 2 sole w password hasherze : 1) Nazwa domeny 2) Przycisk Bump (podbijanie) - automatycznie dodaje powiększającą się liczbę do soli (site tag)
2. Hashowane hasło jest co najmniej tak samo mocne (o ile ma taką samą lub większą długość), co hasło niezahashowane
3. Brute force hasła zahashowanego będzie bardziej pracochłonne niż zwykłego, bo musisz z każdą interacją generować hash dla password hashera oraz hash sha1 czy md5 taki jak w bazie danych
4. Niemożliwe jest łatwe wygenerowanie tęczowych tablic dla bazy haseł, jeżeli niektóre z haseł używają password hashera.

Powyższe wystarcza żeby dać bardzo wysoki poziom bezpieczeństwa.

Ale jeżeli masz paranoję albo widzimisie i to dla Ciebie za mało, to możesz sam wymyślić dodatkową sól i wklejać ją za każdym razem do pola soli (site tag). To już da 100% bezpieczeństwa choć jest dość uciążliwe.

EDIT:
W przeciwieństwie do hasła, sama sól nie musi być trudna do zgadnięcia jak hasło - np. może to być coś łatwego do zapamiętania jak rok urodzin dziecka lub psa.

Pamiętaj, że sól jest tylko po to żeby uniemożliwić brute-force lub użycie tęczowych tablic. To nie jest to samo co hasło.
"A poza tym uważam, że Bitcoin Core i SegWit powinny zostać zniszczone"

{{ Bitcoin.pl Elite Member, Bitcointalk ★Legendary★ [1344] }}
Klucze GPG/PGP: [3072D/F92EDBA4]

Weteran
Awatar użytkownika
Posty: 1178
Rejestracja: 31 stycznia 2013
Reputacja: 236
Reputacja postu: 
0
Napiwki za post: 0 BTC

Uważajcie na trojany/hakerów

Postautor: amneziahaze » czwartek, 14 września 2017, 08:55

ShadowOfHarbringer pisze:Przejdź do cytowanego posta Nie jestem Satoshim

No ale jego manifest został rozjechany buldożerem przez prawo Moore'a.

Dodano po 1 minucie 45 sekundach:
http://joemonster.org/art/11880

Zawsze mam rację
Awatar użytkownika
Posty: 3366
Rejestracja: 15 lutego 2011
Reputacja: 350
Reputacja postu: 
0
Napiwki za post: 0 BTC
Lokalizacja: Zmienna

Uważajcie na trojany/hakerów

Postautor: ShadowOfHarbringer » czwartek, 14 września 2017, 09:01

amneziahaze pisze:
ShadowOfHarbringer pisze:Przejdź do cytowanego posta Nie jestem Satoshim

No ale jego manifest został rozjechany buldożerem przez prawo Moore'a.[/size]
http://joemonster.org/art/11880


1.
Obrazek

2. Nie offtopuj.
"A poza tym uważam, że Bitcoin Core i SegWit powinny zostać zniszczone"

{{ Bitcoin.pl Elite Member, Bitcointalk ★Legendary★ [1344] }}
Klucze GPG/PGP: [3072D/F92EDBA4]

Wróć do „Bezpieczeństwo”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość