https://forum.bitcoin.pl/viewtopic.php? ... 80#p433980
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
- Weteran
- Posty: 2518
- Rejestracja: 21 marca 2014
- Reputacja: 1468
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: The Real McCoin » piątek, 2 lutego 2018, 19:34
The Real McCoin
- Zawsze mam rację
- Posty: 6923
- Rejestracja: 15 lutego 2011
- Reputacja: 4513
- Lokalizacja: Zmienna
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: ShadowOfHarbringer » piątek, 2 lutego 2018, 21:15
Bardzo dobra rada.KryptoBanita pisze:Wypada ściśle stosować się do wytycznych jakie kiedyś zamieścił Bitels - kupić taniego smartfona i nie używać go do niczego innego jak tylko do GA
Często tak ludziom radzę, ale co do kryptowalut - kupić tani smartfon i używać tylko i wyłącznie do kryptowalut.
Ocenzurowane i zmanipulowane fora: /r/Bitcoin, /r/CryptoCurrency, BitcoinTalk
ShadowOfHarbringer
- Weteran
- Posty: 1521
- Rejestracja: 3 grudnia 2017
- Reputacja: 231
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: redlumek » piątek, 2 lutego 2018, 21:57
Na email też się włamali? Kiedy to dokładnie było?rafalg690 pisze:ja mam GA na komórce i zwineli mi z Bitrexa oraz z portfela LISKA, programy skanujące nic nie wykazują, macie jakies pomysły jak to się stało. Ktos zalogował sie na portfelu liska, zalogował sie na bitbeyu uzywając GA, zmienił hasło, przelal liski, sprzedał i wypłacił BTC, jeszcze ku.wa wyjdzie na to ze bede musiał od tego podatek zapłacić. Emeil mam na onecie. Jakies pomysły gdzie został popełniony błąd. Jak przejeli GA?
redlumek
- Weteran
- Posty: 2518
- Rejestracja: 21 marca 2014
- Reputacja: 1468
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: The Real McCoin » niedziela, 11 lutego 2018, 16:11
Przy uruchamianiu programów Windows wyświetla różne komunikaty (o tym, że to plik pobrany z internetu, że wydawca jest nieznany albo znany).
Na czym polega bezpieczeństwo menedżerów pakietów?
Polega na tym, że z powodu niezdolności użytkownika do oceny zagrożenia, zostaje on ubezwłasnowolniony a wybór oprogramowania ograniczony.
Jeżeli ktoś nie radzi sobie z bezpieczeństwem, to decyzje z tym związane będzie musiał podejmować ktoś (coś) inny za niego.
Użytkownik będzie musiał stać się "kontrolowanym więźniem".
Odwieczny problem: wolność kontra bezpieczeństwo.
The Real McCoin
- Początkujący
- Posty: 86
- Rejestracja: 11 grudnia 2017
- Reputacja: 62
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: Piffinator64 » sobota, 3 marca 2018, 13:17
W jaki sposób jesteś sprawdzić integralność pliku wykonywalnego ze strony trzeciej na Windowsie?
Sum kontrolnych nikt nie podaje, a większość Internetu nadal działa bez TLS. W takiej sytuacji dowolny router między Tobą a serwerem może ten plik wykonywalny, który pobierasz i następnie uruchomisz u siebie z uprawnieniami administratora, w dowolny sposób zmodyfikować.
Piffinator64
- Weteran
- Posty: 7893
- Rejestracja: 20 maja 2012
- Reputacja: 969
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: pm7 » sobota, 3 marca 2018, 13:42
@The Real McCoin, repozytoria zawierają dzisiaj bardzo, bardzo dużo programów. Jak czegoś nie ma, to zwykle są dostępne repozytoria/binarki/źródła wraz z podpisami cyfrowymi autorów, które można weryfikować. To zupełnie inna kultura niż Windows.
pm7
- Weteran
- Posty: 2518
- Rejestracja: 21 marca 2014
- Reputacja: 1468
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: The Real McCoin » sobota, 3 marca 2018, 13:59
Spora część programów, albo nawet większość, głównie tych o kodzie źródłowym zamkniętym, jest podpisana elektronicznie i Windows wyświetla informacje o tym, kto jest wydawcą.
Ręcznie takie pliki też łatwo sprawdzić, bo po kliknięciu na właściwości jest tam karta "Podpisy cyfrowe".
Trochę gorzej sprawa wygląda oprogramowaniem otwartoźródłowym bo piszą go randomy i oni zwykle posługują się sumami.
I tutaj niespodzianka, wklejam tłumaczenie jak zweryfikować, nie zgadniesz kogo.... od mBanku.
Tak, mBank tłumaczy zwykłym Januszom jak sprawdzić SHA-256 pliku:
https://www.mbank.pl/pomoc/faq/inne/trwaly-nosnik/Aby sprawdzić, czy dokument, do którego odsyła mBankowy link, jest oryginalny, wykonaj takie kroki:
- pobierz dokument z linku, który od nas otrzymałeś lub ze strony mBanku,
- uruchom jedną z dostępnych w Internecie stron, która pozwala poznać identyfikator (SHA-256) dla danego dokumentu,
- na stronę, którą wybrałeś, wyślij dokument, który pobrałeś od nas,
- strona ta odkoduje skrót SHA-256 dla Twojego dokumentu,
- porównaj oba identyfikatory (Twój i ten, który pokazała strona). Jeśli będą jednakowe, oznaczać to będzie, że dokument, do którego odesłał Cię nasz link, jest oryginalny i nigdy nie był zmieniony.
Patrzy pytanie: Jak upewnić się, czy dokument, do którego odsyła link, jest oryginalny i niezmieniony?
Przyczyną tego są jakieś przepisy, że bankowe regulaminy i umowy mają być udostępniane na "nośniku trwałym". Dlatego:
https://www.mbank.pl/informacje-dla-kli ... entow.htmlOd teraz będziemy Ci przekazywać identyfikator dokumentu, który daje gwarancję niezmienności i autentyczności. Identyfikator będziesz otrzymywał od nas wraz z informacjami o zmianach w tych dokumentach.
Co prawda nie wiem czy mBank rozumie to zabezpieczenie bo bez zaufanej trzeciej strony będzie to słowo banku przeciwko słowu klienta, ale mniejsza o to (mogliby blockchain użyć do tego ).
Nie wiem czy taka weryfikacja sumy przejdzie dla dużych plików. Pewnie nie.
Jeżeli chodzi o oprogramowanie otwarte to sumy kontrolne w ogromnej większości są właśnie podawane.
TLS też jest już na wielu stronach i w większości na takich, na których jest coś ważnego do zrobienia.
The Real McCoin
- Początkujący
- Posty: 86
- Rejestracja: 11 grudnia 2017
- Reputacja: 62
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: Piffinator64 » sobota, 3 marca 2018, 14:07
Chodzi o to, z czego korzystają użytkownicy. Np. WinRAR. Skąd użytkownicy pobierają instalatory takich programów?
To nie tak działa. Wystarczy, żeby jedna strona TLS nie miała i już dowolny router będzie użytkownikiem a serwerem może zmodyfikować przesyłaną treść w dowolny sposób. Jeśli użytkownik choć raz pobierze plik instalacyjny z takiej strony, a następnie wykona go u siebie z uprawnieniami administratora, to również to już wystarczy, by dowolny router między użytkownikiem a serwerem mógł u niego wykonać dowolny kod z uprawnieniami administratora!
Piffinator64
- Weteran
- Posty: 2518
- Rejestracja: 21 marca 2014
- Reputacja: 1468
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: The Real McCoin » sobota, 3 marca 2018, 14:17
Wpisałem w Google hasło winrar i wszedłem na pierwszą stronę (winrar.pl). Strona ma SSL, czyli połączenie ze stroną mam bezpieczne. Pobrałem plik WinRAR 5.50 PL i spróbowałem go uruchomić.
Od razu mam komunikat z pytaniem czy uruchomić program. Jest tam informacja, że wydawca jest zweryfikowany (plik jest podpisany).
Jak widzisz wszystko odbyło się bezpiecznie. Nie było żadnych problemów.
Strona ma kłódkę albo nie ma.
Jeżeli zawartość strony jest mieszana to przeglądarka strony nie oznaczy takiej strony jako bezpiecznej.
Nie widzę problemu. Jest kłódka to nie ma modyfikacji w tranzycie.
The Real McCoin
- Początkujący
- Posty: 86
- Rejestracja: 11 grudnia 2017
- Reputacja: 62
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: Piffinator64 » sobota, 3 marca 2018, 14:22
Nie zgadzam się, że instalacja takich programów odbywa się w ten sposób. Moim zdaniem, odbywa i odbywała się inaczej.
Moim zdaniem, użytkownicy uruchamiają podobne instalatory pobrane z przypadkowych stronek, nie tej oficjalnej producenta. Albo z dysku, pobrane dawno temu.
Tutaj szczęśliwie masz podpis. Ale sam winrar.pl też chyba nie jest oficjalną stroną wydawcy.
To też nie jest wcale takie proste.
Piffinator64
- Weteran
- Posty: 2518
- Rejestracja: 21 marca 2014
- Reputacja: 1468
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: The Real McCoin » sobota, 3 marca 2018, 14:37
Dzisiaj każdy antywirus ma chmurę do której trafia natychmiast każdy nowy plik jaki pojawi się w internecie (lub jego suma).
Pliki, które nie są linkowane na stronach o dużej reputacji, czyli są nieznane, i/lub są niepodpisane cyfrowo, będą posiadały zerową reputację i antywirus wyświetli informację o zagrożeniu nawet jeżeli samo wnętrze EXE jest ok.
Dodano po 3 minutach 14 sekundach:
Jak masz podpis cyfrowy to źródło, z którego go pobrałeś nie ma znaczenia. Nie ma znaczenia nawet to, czy połączenie internetowe było bezpieczne.
Dodano po 10 minutach 44 sekundach:
Jest. W linkowanym artykule o tym piszą. Dane w tranzycie nie mogą zostać zmodyfikowane.
Poza tym w protokole HTTPS nie używa się PGP/GPG.
The Real McCoin
- Weteran
- Posty: 7893
- Rejestracja: 20 maja 2012
- Reputacja: 969
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: pm7 » sobota, 3 marca 2018, 14:38
Pojawia się coraz więcej wirusów podpisanych cyfrowo (ukradzionymi kluczami, bądź poprzez oszukanie urzędu wystawiającego certyfikaty).
No i ilu użytkowników Windows się przejmie, że instalator programu nie ma podpisu cyfrowego?
Śmieszne/smutne, że bank sugeruje dokumenty wysyłać na losowe strony do internetu zamiast zweryfikować sumę kontrolną programem na komputerze użytkownika.
Problemem nie jest suma kontrolna. Problemem jest, co jeżeli bank zmieni na swojej stronie dokument i sumę kontrolną? Jeżeli nie podpisali cyfrowo sumy kontrolnej lub dokumentu, nie ma żadnego dowodu, że wcześniej otrzymany plik jest od nich. Blockchain nie jest do tego potrzebny, wystarczy podpis cyfrowy. Jest to technologia dostępna od dawna (patrz "certyfikat kwalifikowany").
pm7
- Początkujący
- Posty: 86
- Rejestracja: 11 grudnia 2017
- Reputacja: 62
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: Piffinator64 » sobota, 3 marca 2018, 14:39
Tak, o ile oczywiście klucz prywatny podpisującego jest bezpieczny. Znane są przypadki zmasowanych ataków na klucze prywatne.
I użytkownik być może je zignoruje. Natomiast ten sam użytkownik, korzystając z systemu operacyjnego z menedżerem pakietów (obojętnie jakiego, Linux czy iOS), nigdy poza repozytorium nie wyjdzie.
Jeśli program antywirusowy raportuje każdą akcję użytkownika do zewnętrznego komputera, to uszczerbek dla prywatności jest monstrualny.
Piffinator64
- Weteran
- Posty: 2518
- Rejestracja: 21 marca 2014
- Reputacja: 1468
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: The Real McCoin » sobota, 3 marca 2018, 15:20
To są przypadki ograniczone czasowo bo certyfikaty zostają unieważnione.
Jak komuś zależy na większym bezpieczeństwie, może akceptować tylko certyfikaty EV (extended validation), które wydawane są na kluczach sprzętowych, których kradzież jest znacznie trudniejsza.
Wydawcom, którzy stosują wadliwe praktyki przestaje się ufać, patrz kwestia zakończenia ufania certyfikatom Symanteca: https://security.googleblog.com/2017/09 ... antec.html
No właśnie o tym pisałem. Problemem jest brak zaufanej trzeciej strony. Blockchain albo podpisy są taką stroną.
Dodano po 15 minutach 57 sekundach:
Błędy zawsze mogą się zdarzyć. Przed nimi nie ochroni Cię ani Windows, ani Linux, ani otwarte kody źródłowe ani zamknięte.
Kwestia tego na ile chcesz być pozbawiony wolności i na ile i komu chcesz być zmuszony ufać.
Jak nie znajdzie programu w repozytorium to wyjdzie, ignorując przy tym wszelkie ostrzeżenia.
A tak dla przypomnienia, jeżeli chodzi o Androida:
https://niebezpiecznik.pl/post/jak-prze ... ch-bankow/w oficjalnym sklepie Google jest masa złośliwych i zainfekowanych aplikacji
The Real McCoin
- Weteran
- Posty: 7893
- Rejestracja: 20 maja 2012
- Reputacja: 969
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: pm7 » sobota, 3 marca 2018, 15:23
Wirusy największych zagrożeniem są właśnie w pierwszych godzinach/dniach od publikacji.
Można na Windows sprawdzić, czy program jest podpisany certyfikatem EV? Są programy podpisywane takim certyfikatem?
Możesz mi wytłumaczyć w jaki sposób blockchain rozwiązuje ten problem? To jest rzecz, która mnie nieco irytuje w fanach kryptowalut: widzą jakiś problem i odruchowo mówią "powinni użyć blockchain".
pm7
- Początkujący
- Posty: 86
- Rejestracja: 11 grudnia 2017
- Reputacja: 62
Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe
Postautor: Piffinator64 » sobota, 3 marca 2018, 19:10
Użytkownik repozytorium nie jest zmuszany do korzystania z niego bardziej niż użytkownik lodówki jest zmuszany do korzystania z drzwi od lodówki, by się dostać do jej wnętrza. Przymus na tym etapie nie istnieje, jeśli zakup lodówki lub wybór systemu operacyjnego jest dobrowolny.
Natomiast zgadzam sie, że konieczne jest przyjęcie pewnych założeń co do zaufania. Także w przypadku otwartego oprogramowania ma to miejsce. Nikt bowiem z jego użytkowników nie jest z osobna fizycznie w stanie samodzielnie zweryfikować każdej linijki kodu. Różnica polega jedynie na tym, że w przypadku oprogramowania otwartego można to zrobić, a w przypadku zamkniętego nie.
Piffinator64
- Bitcoin
- Bezpieczeństwo
- Giełdy i serwisy - zagrożenia
- Anonimowość i bezpieczeństwo w sieci
- Piramidy i scamy
- Bitcoin
- Rozwój projektu
- Twój wkład w rozwój projektu
- Przedszkole
- Pomoc techniczna
- Generowanie monet
- Pomoc
- Ogólnie o miningu
- Mining pools
- Kopacze (miners)
- Sprzęt (hardware) do miningu
- Bitcoin w mediach
- Projekty związane z Bitcoin
- Imprezy, spotkania, konferencje
- Kwestie prawne
- Ciekawostki
- Organizacje charytatywne, zbiórki, dotacje
- Programowanie i wdrożenia
- Ankiety
- Portfele bitcoin
- Dla zaawansowanych - nowi tylko czytają
- Ekonomia
- Rozważania ekonomiczne
- Ankiety ekonomiczne
- Analiza techniczna
- Tutaj zapłacisz bitcoinami
- Polska
- Świat
- Tablica ogłoszeń
- Towary
- Sprzedam
- Kupię
- Zamienię
- Udziały
- Usługi
- Wymiana walut
- Komentarze
- Nagrody
- Wymiana Face-to-Face
- Dolnośląskie
- Kujawsko-pomorskie
- Lubelskie
- Lubuskie
- Łódzkie
- Małopolskie
- Mazowieckie
- Opolskie
- Podkarpackie
- Podlaskie
- Pomorskie
- Śląskie
- Świętokrzyskie
- Warmińsko-mazurskie
- Wielkopolskie
- Zachodniopomorskie
- Cała Polska
- Szukam/dam pracę
- Boty i strategie
- Giełdy, kantory, bitomaty
- Kantory
- Bitomaty
- Inwestycje
- Metale szlachetne
- ICO
- Forki i Alternatywne kryptowaluty
- LiteCoin
- Ekonomia
- Mining
- Ustawienia i konfiguracje
- Linki
- Dogecoin
- Ekonomia
- Mining
- NameCoin
- Ekonomia
- Mining
- Pozostałe
- Scrypt
- SHA256
- Dash
- Ethereum
- ETC
- Lisk
- Bitcoin Cash
- Kopanie kryptowalut
- Kopanie GPU
- Kopanie CPU
- Kopanie ASIC/FPGA
- Kopalnie kryptowalut
- IOTA
- NEO
- Chia
- SCAMY
- Inne
- Linki
- Faucety, kraniki, gry
- Księga skarg i zażaleń
- AMA
- Strona i forum
- Administrator mówi
- Opinie, propozycje, uwagi
- Propozycje banów
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 7 gości
- Strefa czasowa UTC+02:00
- Na górę
- Zmień szerokość ekranu
- Usuń ciasteczka witryny
O Polskim Forum Bitcoin
Polskie Forum Bitcoin skupia miłośników Bitcoina w Polsce. Tu możesz zadać pytania odnośnie Bitoina lub podyskutować na ciekawe tematy.
Polecamy
Treści na tym forum mają charakter wyłącznie informacyjno-edukacyjny, a posty są wyrazem osobistych poglądów ich autorów. Treśći na forum ani w całości ani w części nie stanowią "rekomendacji" w rozumieniu przepisów Rozporządzenia Ministra Finansów z dnia 19 października 2005 r. w sprawie informacji stanowiących rekomendacje dotyczące instrumentów finansowych, lub ich emitentów (Dz.U. z 2005 r. Nr 206, poz. 1715).