Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe

[The Real McCoin]

Myślicie, że coś może być na rzeczy czy może Bitdefender dmucha na zimne?

https://forum.bitcoin.pl/viewtopic.php? ... 80#p433980

[ShadowOfHarbringer]

Wypada ściśle stosować się do wytycznych jakie kiedyś zamieścił Bitels - kupić taniego smartfona i nie używać go do niczego innego jak tylko do GA

Bardzo dobra rada.

Często tak ludziom radzę, ale co do kryptowalut - kupić tani smartfon i używać tylko i wyłącznie do kryptowalut.

[redlumek]

ja mam GA na komórce i zwineli mi z Bitrexa oraz z portfela LISKA, programy skanujące nic nie wykazują, macie jakies pomysły jak to się stało. Ktos zalogował sie na portfelu liska, zalogował sie na bitbeyu uzywając GA, zmienił hasło, przelal liski, sprzedał i wypłacił BTC, jeszcze ku.wa wyjdzie na to ze bede musiał od tego podatek zapłacić. Emeil mam na onecie. Jakies pomysły gdzie został popełniony błąd. Jak przejeli GA?

Na email też się włamali? Kiedy to dokładnie było?

[The Real McCoin]

Dodatkowo na Windowsie użytkownicy mają jeszcze jeden potężny wektor ataku, jakim jest uruchamianie programów z nieznanych źródeł ze względu na brak menedżera pakietów.

Przy uruchamianiu programów Windows wyświetla różne komunikaty (o tym, że to plik pobrany z internetu, że wydawca jest nieznany albo znany).
Na czym polega bezpieczeństwo menedżerów pakietów?
Polega na tym, że z powodu niezdolności użytkownika do oceny zagrożenia, zostaje on ubezwłasnowolniony a wybór oprogramowania ograniczony.
Jeżeli ktoś nie radzi sobie z bezpieczeństwem, to decyzje z tym związane będzie musiał podejmować ktoś (coś) inny za niego.
Użytkownik będzie musiał stać się "kontrolowanym więźniem".

Odwieczny problem: wolność kontra bezpieczeństwo.

[Piffinator64]

Polega na tym, że z powodu niezdolności użytkownika do oceny zagrożenia, zostaje on ubezwłasnowolniony a wybór oprogramowania ograniczony.

W jaki sposób jesteś sprawdzić integralność pliku wykonywalnego ze strony trzeciej na Windowsie?

Sum kontrolnych nikt nie podaje, a większość Internetu nadal działa bez TLS. W takiej sytuacji dowolny router między Tobą a serwerem może ten plik wykonywalny, który pobierasz i następnie uruchomisz u siebie z uprawnieniami administratora, w dowolny sposób zmodyfikować.

[pm7]

Jak @The Real McCoin napisał, niby wiele programów na Windows jest podpisywanych cyfrowo, co mogłoby pomóc na trywialne ataki modyfikowania binarek... gdyby ludzie się przejmowali przy uruchamianiu programów z Internetu co Windows pokazuje.

@The Real McCoin, repozytoria zawierają dzisiaj bardzo, bardzo dużo programów. Jak czegoś nie ma, to zwykle są dostępne repozytoria/binarki/źródła wraz z podpisami cyfrowymi autorów, które można weryfikować. To zupełnie inna kultura niż Windows.

[The Real McCoin]

W jaki sposób jesteś sprawdzić integralność pliku wykonywalnego ze strony trzeciej na Windowsie?

Spora część programów, albo nawet większość, głównie tych o kodzie źródłowym zamkniętym, jest podpisana elektronicznie i Windows wyświetla informacje o tym, kto jest wydawcą.
Ręcznie takie pliki też łatwo sprawdzić, bo po kliknięciu na właściwości jest tam karta "Podpisy cyfrowe".

Trochę gorzej sprawa wygląda oprogramowaniem otwartoźródłowym bo piszą go randomy i oni zwykle posługują się sumami.
I tutaj niespodzianka, wklejam tłumaczenie jak zweryfikować, nie zgadniesz kogo.... od mBanku.
Tak, mBank tłumaczy zwykłym Januszom jak sprawdzić SHA-256 pliku:

Aby sprawdzić, czy dokument, do którego odsyła mBankowy link, jest oryginalny, wykonaj takie kroki:

• pobierz dokument z linku, który od nas otrzymałeś lub ze strony mBanku,
• uruchom jedną z dostępnych w Internecie stron, która pozwala poznać identyfikator (SHA-256) dla danego dokumentu,
• na stronę, którą wybrałeś, wyślij dokument, który pobrałeś od nas,
• strona ta odkoduje skrót SHA-256 dla Twojego dokumentu,
• porównaj oba identyfikatory (Twój i ten, który pokazała strona). Jeśli będą jednakowe, oznaczać to będzie, że dokument, do którego odesłał Cię nasz link, jest oryginalny i nigdy nie był zmieniony.

https://www.mbank.pl/pomoc/faq/inne/trwaly-nosnik/
Patrzy pytanie: Jak upewnić się, czy dokument, do którego odsyła link, jest oryginalny i niezmieniony?

Przyczyną tego są jakieś przepisy, że bankowe regulaminy i umowy mają być udostępniane na "nośniku trwałym". Dlatego:

Od teraz będziemy Ci przekazywać identyfikator dokumentu, który daje gwarancję niezmienności i autentyczności. Identyfikator będziesz otrzymywał od nas wraz z informacjami o zmianach w tych dokumentach.

https://www.mbank.pl/informacje-dla-kli ... entow.html

Co prawda nie wiem czy mBank rozumie to zabezpieczenie bo bez zaufanej trzeciej strony będzie to słowo banku przeciwko słowu klienta, ale mniejsza o to (mogliby blockchain użyć do tego ).

Nie wiem czy taka weryfikacja sumy przejdzie dla dużych plików. Pewnie nie.

Jeżeli chodzi o oprogramowanie otwarte to sumy kontrolne w ogromnej większości są właśnie podawane.
TLS też jest już na wielu stronach i w większości na takich, na których jest coś ważnego do zrobienia.

[Piffinator64]

Tu nie chodzi o sporą część czy szczególne przypadki jakiegoś banku.

Chodzi o to, z czego korzystają użytkownicy. Np. WinRAR. Skąd użytkownicy pobierają instalatory takich programów?

TLS też jest już na wielu stronach i w większości na takich, na których jest coś ważnego do zrobienia.

To nie tak działa. Wystarczy, żeby jedna strona TLS nie miała i już dowolny router będzie użytkownikiem a serwerem może zmodyfikować przesyłaną treść w dowolny sposób. Jeśli użytkownik choć raz pobierze plik instalacyjny z takiej strony, a następnie wykona go u siebie z uprawnieniami administratora, to również to już wystarczy, by dowolny router między użytkownikiem a serwerem mógł u niego wykonać dowolny kod z uprawnieniami administratora!

[The Real McCoin]

Chodzi o to, z czego korzystają użytkownicy. Np. WinRAR. Skąd użytkownicy pobierają instalatory takich programów?

Wpisałem w Google hasło winrar i wszedłem na pierwszą stronę (winrar.pl). Strona ma SSL, czyli połączenie ze stroną mam bezpieczne. Pobrałem plik WinRAR 5.50 PL i spróbowałem go uruchomić.
Od razu mam komunikat z pytaniem czy uruchomić program. Jest tam informacja, że wydawca jest zweryfikowany (plik jest podpisany).
Jak widzisz wszystko odbyło się bezpiecznie. Nie było żadnych problemów.

jedna strona TLS nie miała

Strona ma kłódkę albo nie ma.
Jeżeli zawartość strony jest mieszana to przeglądarka strony nie oznaczy takiej strony jako bezpiecznej.
Nie widzę problemu. Jest kłódka to nie ma modyfikacji w tranzycie.

[Piffinator64]

Jak widzisz wszystko odbyło się bezpiecznie. Nie było żadnych problemów.

Nie zgadzam się, że instalacja takich programów odbywa się w ten sposób. Moim zdaniem, odbywa i odbywała się inaczej.

Moim zdaniem, użytkownicy uruchamiają podobne instalatory pobrane z przypadkowych stronek, nie tej oficjalnej producenta. Albo z dysku, pobrane dawno temu.

Tutaj szczęśliwie masz podpis. Ale sam winrar.pl też chyba nie jest oficjalną stroną wydawcy.

Jest kłódka to nie ma modyfikacji w tranzycie.

To też nie jest wcale takie proste.

[The Real McCoin]

I jeszcze jedno. Jak się ma dodatkowo antywirusa to on zwykle sam dodatkowo blokuje dostęp do plików wykonywalnych i wyświetla sporo różnych ostrzeżeń.
Dzisiaj każdy antywirus ma chmurę do której trafia natychmiast każdy nowy plik jaki pojawi się w internecie (lub jego suma).
Pliki, które nie są linkowane na stronach o dużej reputacji, czyli są nieznane, i/lub są niepodpisane cyfrowo, będą posiadały zerową reputację i antywirus wyświetli informację o zagrożeniu nawet jeżeli samo wnętrze EXE jest ok.

Dodano po 3 minutach 14 sekundach:

Tutaj szczęśliwie masz podpis.

Jak masz podpis cyfrowy to źródło, z którego go pobrałeś nie ma znaczenia. Nie ma znaczenia nawet to, czy połączenie internetowe było bezpieczne.

Dodano po 10 minutach 44 sekundach:

To też nie jest wcale takie proste.

Jest. W linkowanym artykule o tym piszą. Dane w tranzycie nie mogą zostać zmodyfikowane.
Poza tym w protokole HTTPS nie używa się PGP/GPG.

[pm7]

https://thehackernews.com/2017/11/malwa ... icate.html

Pojawia się coraz więcej wirusów podpisanych cyfrowo (ukradzionymi kluczami, bądź poprzez oszukanie urzędu wystawiającego certyfikaty).

No i ilu użytkowników Windows się przejmie, że instalator programu nie ma podpisu cyfrowego?

Tak, mBank tłumaczy zwykłym Januszom jak sprawdzić SHA-256 pliku:

Śmieszne/smutne, że bank sugeruje dokumenty wysyłać na losowe strony do internetu zamiast zweryfikować sumę kontrolną programem na komputerze użytkownika.

Co prawda nie wiem czy mBank rozumie to zabezpieczenie bo bez zaufanej trzeciej strony będzie to słowo banku przeciwko słowu klienta, ale mniejsza o to (mogliby blockchain użyć do tego ).

Problemem nie jest suma kontrolna. Problemem jest, co jeżeli bank zmieni na swojej stronie dokument i sumę kontrolną? Jeżeli nie podpisali cyfrowo sumy kontrolnej lub dokumentu, nie ma żadnego dowodu, że wcześniej otrzymany plik jest od nich. Blockchain nie jest do tego potrzebny, wystarczy podpis cyfrowy. Jest to technologia dostępna od dawna (patrz "certyfikat kwalifikowany").

[Piffinator64]

Jak masz podpis cyfrowy to źródło, z którego go pobrałeś nie ma znaczenia. Nie ma znaczenia nawet to, czy połączenie internetowe było bezpieczne.

Tak, o ile oczywiście klucz prywatny podpisującego jest bezpieczny. Znane są przypadki zmasowanych ataków na klucze prywatne.

Pliki, które nie są linkowane na stronach o dużej reputacji, czyli są nieznane, i/lub są niepodpisane cyfrowo, będą posiadały zerową reputację i antywirus wyświetli informację o zagrożeniu nawet jeżeli samo wnętrze EXE jest ok.

I użytkownik być może je zignoruje. Natomiast ten sam użytkownik, korzystając z systemu operacyjnego z menedżerem pakietów (obojętnie jakiego, Linux czy iOS), nigdy poza repozytorium nie wyjdzie.

Jeśli program antywirusowy raportuje każdą akcję użytkownika do zewnętrznego komputera, to uszczerbek dla prywatności jest monstrualny.

[The Real McCoin]

Pojawia się coraz więcej wirusów podpisanych cyfrowo

To są przypadki ograniczone czasowo bo certyfikaty zostają unieważnione.

ukradzionymi kluczami,

Jak komuś zależy na większym bezpieczeństwie, może akceptować tylko certyfikaty EV (extended validation), które wydawane są na kluczach sprzętowych, których kradzież jest znacznie trudniejsza.

oszukanie urzędu wystawiającego certyfikaty

Wydawcom, którzy stosują wadliwe praktyki przestaje się ufać, patrz kwestia zakończenia ufania certyfikatom Symanteca: https://security.googleblog.com/2017/09 ... antec.html

Problemem jest, co jeżeli bank zmieni na swojej stronie dokument i sumę kontrolną?

No właśnie o tym pisałem. Problemem jest brak zaufanej trzeciej strony. Blockchain albo podpisy są taką stroną.

Dodano po 15 minutach 57 sekundach:

Znane są przypadki zmasowanych ataków na klucze prywatne.

Błędy zawsze mogą się zdarzyć. Przed nimi nie ochroni Cię ani Windows, ani Linux, ani otwarte kody źródłowe ani zamknięte.

I użytkownik być może je zignoruje. Natomiast ten sam użytkownik, korzystając z systemu operacyjnego z menedżerem pakietów (obojętnie jakiego, Linux czy iOS), nigdy poza repozytorium nie wyjdzie.

Kwestia tego na ile chcesz być pozbawiony wolności i na ile i komu chcesz być zmuszony ufać.

Natomiast ten sam użytkownik, korzystając z systemu operacyjnego z menedżerem pakietów (obojętnie jakiego, Linux czy iOS), nigdy poza repozytorium nie wyjdzie.

Jak nie znajdzie programu w repozytorium to wyjdzie, ignorując przy tym wszelkie ostrzeżenia.
A tak dla przypomnienia, jeżeli chodzi o Androida:

w oficjalnym sklepie Google jest masa złośliwych i zainfekowanych aplikacji

https://niebezpiecznik.pl/post/jak-prze ... ch-bankow/

[pm7]

To są przypadki ograniczone czasowo bo certyfikaty zostają unieważnione.

Wirusy największych zagrożeniem są właśnie w pierwszych godzinach/dniach od publikacji.

Jak komuś zależy na większym bezpieczeństwie, może akceptować tylko certyfikaty EV (extended validation), które wydawane są na kluczach sprzętowych, których kradzież jest znacznie trudniejsza.

Można na Windows sprawdzić, czy program jest podpisany certyfikatem EV? Są programy podpisywane takim certyfikatem?

No właśnie o tym pisałem. Problemem jest brak zaufanej trzeciej strony. Blockchain albo podpisy są taką stroną.

Możesz mi wytłumaczyć w jaki sposób blockchain rozwiązuje ten problem? To jest rzecz, która mnie nieco irytuje w fanach kryptowalut: widzą jakiś problem i odruchowo mówią "powinni użyć blockchain".

[Piffinator64]

Kwestia tego na ile chcesz być pozbawiony wolności i na ile i komu chcesz być zmuszony ufać.

Użytkownik repozytorium nie jest zmuszany do korzystania z niego bardziej niż użytkownik lodówki jest zmuszany do korzystania z drzwi od lodówki, by się dostać do jej wnętrza. Przymus na tym etapie nie istnieje, jeśli zakup lodówki lub wybór systemu operacyjnego jest dobrowolny.

Natomiast zgadzam sie, że konieczne jest przyjęcie pewnych założeń co do zaufania. Także w przypadku otwartego oprogramowania ma to miejsce. Nikt bowiem z jego użytkowników nie jest z osobna fizycznie w stanie samodzielnie zweryfikować każdej linijki kodu. Różnica polega jedynie na tym, że w przypadku oprogramowania otwartego można to zrobić, a w przypadku zamkniętego nie.