Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe

[szymon1051]

A nie można po prostu własnego maila założyć?
https://prism-break.org/pl/all/#mail-servers

[prott3]

A nie można po prostu własnego maila założyć?
https://prism-break.org/pl/all/#mail-servers

A czy w ogóle zapoznałeś się z tematem?

Edit. @szymon1051
Co by nie nabijać postów.Jak napisał @ShadowOfHarbringer, problem nie leży w koncie pocztowym ale w punktach zaznaczonych na czerwono.

[szymon1051]

Co żadne z nich nie są szyfrowane?

[ShadowOfHarbringer]

Generalnie kiedyś odrzucałem całą koncepcję 2FA w stylu "eee tam komu to potrzebne, wystarczy mieć niehakowalnego kompa na Linuksie".

Może zadam głupie pytanie ale nigdy nie maiłem styczności z Linuksem dlatego:
@ShadowOfHarbringer możesz poradzić jak postawić takiego niehakowalnego kompa? To znaczy jakiego Linuksa wybrać? Jakieś dodatkowe zabezpieczenia do niego?

Dowolnego popularnego/aktualizowanego na bieżąco linuksa praktycznie (aktualnego, bo powinien mieć łatkę niedawno odkryty był błąd w procesorach Intela i AMD, który powoduje, że wszystkie kompy są zagrożone - niezależnie od systemu).

A najlepiej to
https://www.linuxmint.com/download.php

Co do dodatkowych zabezpieczeń to, hmmm...

Najlepiej stworzyć sobie kilka wirtualnych tożsamości - osobna do gier online(FPS, Steam, CSGO etc), osobna do kryptowalut, osobna do zakupów oraz osobna do reszty. Każda z tych osobowości powinna mieć osobny email, osobne hasła i osobne dane osobowe (lub hasła generowane - patrz niżej). Ja tak mam i tak jest najbezpieczniej. Dzięki tej metodzie, nawet jeżeli ktoś złamie jednego maila czy włamie się na jeden serwis z którego korzystacie, dostanie dostęp tylko do wycinka Twojego życia. Nie będzie mógł "wejść głębiej" i zhakować Twoich kont z innych Twoich zajęć/serwisów.

Oczywiście podejrzewam, że 99% ludzi nie będzie się tego chciało robić. Więc dla większości powinno wystarczyć poniższe:

Używać innego hasła na każdym serwisie, normalnie jest to zbyt uciążliwe ale
1) Całe szczęście są generatory nieskończonej ilości haseł bazujących na jednym głównym haśle, takie jak Password Hasher: https://addons.mozilla.org/en-US/firefo ... rd-hasher/ . Pamiętasz tylko jedno hasło, a na każdym serwisie masz inne
2) Są też programy do przechowywania bazy haseł zabezpieczanej każdorazowo jednym głównym hasłem, takie jak LastPass, KeePassX
Osobiście używam rozwiązania nr. 1)

Jeżeli nie chce się Wam dzielić swojego życia na osobne fragmenty, to chociaż zróbcie sobie tylko 3 osobne konta emailowe:
A) To, do którego będą podpięte konta bankowe
B) Od kryptowalut
C) Od reszty

Drastycznie podwyższy to poziom bezpieczeństwa. Kryptowaluty to bardzo niestabilny obszar pełen haków i włamów, warto je oddzielić reszty swojego życia grubą zaporą ogniową.

Dodano po 2 minutach 23 sekundach:

Co żadne z nich nie są szyfrowane?

Email to bardzo stara i zacofana technologia.

Generalnie nie, nic nie jest szyfrowane o ile Ty i giełda nie używacie GPG.

[The Real McCoin]

Gorzej. Reset hasła, zalogowanie się z amerykańskiego IP. Nie ukradziono nic tylko dlatego, że nic tam nie trzymałem.

Możesz zdradzić co to była za giełda, z jakiego mailera korzysta oraz na jakim serwerze miałeś skrzynkę pocztową?
Jesteś pewien, że na poczcie miałeś trudne hasło? Może skrzynkę zakładałeś dawno temu i ustawiłeś tam prostsze hasło?

[ShadowOfHarbringer]

Gorzej. Reset hasła, zalogowanie się z amerykańskiego IP. Nie ukradziono nic tylko dlatego, że nic tam nie trzymałem.

Możesz zdradzić co to była za giełda, z jakiego mailera korzysta oraz na jakim serwerze miałeś skrzynkę pocztową?

Giełda to HitBTC, korzysta(ła?) z mailera mailgun chyba (ten sam co z niego korzystał Reddit zanim go shakowali) a ja mam ten mail na tlenie/O2.

Co wcale nie znaczy, że mam pewność że mojego emaila zhakowali akurat przez mailgun.

Już rok temu miałem dziwne logowania z amerykańskich IP na moim koncie Google (którego nie używam prawie wcale, więc olałem to). Ktoś też próbował się zalogować na mojego Twittera. Nie udało mu się, ale próbował. Twitter zablokował mi konto całkowicie (i tak go nie używałem).

Wszystkie te włamania dotyczą tylko jednego adresu email na O2/Tlen. Więc podejrzewam, że włamywacze równie dobrze mogli mieć dostęp do skrzynki O2 lub jakiegoś serwera po drodze (podsłuch), a nie tylko mailguna.

Jednak na skrzynce O2 nikt hasła nie zmienił ani razu, nie było tam żadnego problemu. Czyli jednak raczej coś po drodze.

[The Real McCoin]

Czyli jednak raczej coś po drodze.

Jeżeli chodzi o etap "internet" między Mailgun a Tlen to na dzień dzisiejszy wg statystyk Google 89% ruchu w tranzycie między serwerami pocztowymi jest szyfrowane.
https://transparencyreport.google.com/s ... l/overview
Wg powyższej strony ruch do i z Tlen jest w 100% szyfrowany.
Możesz to sprawdzić także na skrzynce odbiorczej, czy w nagłówkach wiadomości resetujących jest wpis o szyfrowaniu TLS (serwer Tlen powinien coś takiego tam umieścić).

[ShadowOfHarbringer]

Czyli jednak raczej coś po drodze.

Jeżeli chodzi o etap "internet" między Mailgun a Tlen to na dzień dzisiejszy wg statystyk Google 89% ruchu w tranzycie między serwerami pocztowymi jest szyfrowany.
https://transparencyreport.google.com/s ... l/overview
Wg powyższej strony ruch do i z Tlen jest w 100% szyfrowane.
Możesz to sprawdzić także na skrzynce odbiorczej, czy w nagłówkach wiadomości resetujących jest wpis o szyfrowaniu TLS (serwer Tlen powinien coś takiego tam umieścić).

No coś tak nie bardzo. Nawet tak średnio bym powiedział, tak średnio.

Statystyki, które załączyłeś dotyczą tylko ruchu wchodzącego i wychodzącego z Google, czyli w żaden sposób nie są miarodajne dla polskich serwerów pocztowych. Ani dla internetu ogółem.

Jako że konfigurowałem swój własny server SMTP to mam wgląd czy ruch do polskich skrzynek jest szyfrowany czy nie - a przynajmniej mam wgląd czy skrzynki te wymagają szyfrowania przy komunikacji. No i nie wymagają. Jest to problem kompatybilności wstecznej - masa serwerów nie obsługuje szyfrowania.

Nawet na stronie, do której linka dałeś masz wyłożone jak krowa na rowie:


Ogromna część serwisów nie obsługuje szyfrowania. A na pewno już nie wymusza szyfrowanego połączenia.

[The Real McCoin]

@ShadowOfHarbringer, na stronie, którą podałem jest sekcja "Explore the data" i tam można wpisać dowolną domenę do sprawdzenia. Wpisz tam tlen.pl.

[ShadowOfHarbringer]

@ShadowOfHarbringer, na stronie, którą podałem jest sekcja "Explore the data" i tam można wpisać dowolną domenę do sprawdzenia. Wpisz tam tlen.pl.

To dotyczy tylko ruchu z tlen do google.

I to udowadnia tylko i wyłącznie to, że tlen obsługuje szyfrowanie. Ale nie wymusza. Pewnie google wymusza, więc tlen się dostosowywuje.

Poza tym wracając do tematu: nawet jeżeli ruch był szyfrowany, nic to nie zmienia. Zhakowany może zostać mailgun czy temu podobny serwis.

[The Real McCoin]

To dotyczy tylko ruchu z tlen do google.

I to udowadnia tylko i wyłącznie to, że tlen obsługuje szyfrowanie. Ale nie wymusza. Pewnie google wymusza, więc tlen się dostosowywuje.

Jak serwer SMTP ma TLS to reszta zależy od klienta (czyli Mailgun).

TLS Connection Control
by Russell Jones on June 23 2015

Over a year ago Mailgun flipped on opportunistic TLS. This means whenever we connect to an MX server, we first try and upgrade the connection to a TLS connection to deliver your messages. However, if it's not offered or some kind of error occurs (like an invalid certificate) while establishing the connection, we still deliver the message, but over a plaintext SMTP connection.

http://blog.mailgun.com/tls-connection-control/

W tym wpisie wspominają o nowych opcjach konfiguracyjnych.
Więc żeby się przekonać czy nastąpiło szyfrowanie to trzeba po prostu zajrzeć na nagłówka wiadomości, jaką się otrzymało.
A zmienia to to, że można by wykluczyć jeden element z łańcucha.

Dodano po 15 minutach 25 sekundach:
Właśnie zrobiłem test (próba wysłania wiadomości na adres test@tlen.pl) serwera SMTP na https://www.checktls.com/perl/live/TestReceiver.pl i okazuje się, że połączenie szyfrowane można nawiązać, ale w certyfikacie nie zgadza się domena.
Obie domeny o2.pl i tlen.pl obsługuje serwer mx.tlen.pl, ale jedyny certyfikat jaki można tam uzyskać jest dla o2.pl:

Kod: Zaznacz cały

[000.866]		Cert Hostname DOES NOT VERIFY (mx.tlen.pl != *.o2.pl | DNS:*.o2.pl | DNS:o2.pl)
[000.866]		(see RFC-2818 section 3.1 paragraph 4 for info on wildcard ("*") matching)
[000.866]		So email is encrypted but the host is not verified

To może spowodować, że niektóre klienty SMTP mogą nie chcieć z czymś takim się połączyć przez TLS.

[ShadowOfHarbringer]

To może spowodować, że niektóre klienty SMTP mogą nie chcieć z czymś takim się połączyć przez TLS.

Widzisz ? Sam sobie odpowiedziałeś.

Generalnie Google jest w awangardzie jeżeli chodzi o szyfrowanie, to oni przecież naciskają na szyfrowanie całej sieci od jakichś 3-4 lat.

Prawda jest taka, że większość serwerów poza google wciąż nie wymusza szyfrowania (albo ma złą konfigurację, jak sam wykryłeś). Sama obsługa to za mało.

[Yogi77]

Generalnie kiedyś odrzucałem całą koncepcję 2FA w stylu "eee tam komu to potrzebne, wystarczy mieć niehakowalnego kompa na Linuksie".

Może zadam głupie pytanie ale nigdy nie maiłem styczności z Linuksem dlatego:
@ShadowOfHarbringer możesz poradzić jak postawić takiego niehakowalnego kompa? To znaczy jakiego Linuksa wybrać? Jakieś dodatkowe zabezpieczenia do niego?

Dowolnego popularnego/aktualizowanego na bieżąco linuksa praktycznie (aktualnego, bo powinien mieć łatkę niedawno odkryty był błąd w procesorach Intela i AMD, który powoduje, że wszystkie kompy są zagrożone - niezależnie od systemu).

Obawiam się że Linuxy są tak samo podatne jak Windowsy, mniejsza szansa na złapanie syfu wynika tylko i wyłącznie z ich mniejszej popularności, toteż mniej się syfu na nie produkuje. Jeśli duża liczba niedoświadczonych użytkowników zacznie przechodzić na Linuxy to tendencja będzie taka, że zacznie się produkować dużą ilość złośliwego oprogramowania również na Linuxy.

Zasada jest ogólnie taka sama jak w Windowsie, nie instalować nic spoza zaufanych źródeł, najlepiej jedynie z oficjalnych repozytoriów.

Ja aktualnie na codzień używam debiana z GNOME, ale najbezpieczniejsza opacja (do wyjątkowych zadań) to:

-płyta / pendrive z dystrybucją live, dzięki czemu mamy czysty system przy każdym uruchomienu

lub

-maszyna wirtualna - korzystać z czystego snapshota lub ustawić dysk w trybie immutable

(dystrybucja live to zdecydowanie najbezpieczniejsza opcja, oczywiście pod warunkiem że obraz systemu pochodzi z zaufanego źródła, nie został podstawiony podczas pobierania i nie zawiera żadnych poważnych podatności)

Jakieś dodatkowe zabezpieczenia do niego?

1. https://en.wikipedia.org/wiki/Uncomplicated_Firewall

2. Jeśli do Twojego komputera mogą mieć fizyczny dostęp niezaufane osoby to rozważyłbym jakąś kontrole integralności danych. Na przykład transparentne szyfrowanie całej powierzchni dysku.

[ShadowOfHarbringer]

Może zadam głupie pytanie ale nigdy nie maiłem styczności z Linuksem dlatego:
@ShadowOfHarbringer możesz poradzić jak postawić takiego niehakowalnego kompa? To znaczy jakiego Linuksa wybrać? Jakieś dodatkowe zabezpieczenia do niego?

Dowolnego popularnego/aktualizowanego na bieżąco linuksa praktycznie (aktualnego, bo powinien mieć łatkę niedawno odkryty był błąd w procesorach Intela i AMD, który powoduje, że wszystkie kompy są zagrożone - niezależnie od systemu).

Obawiam się że Linuxy są tak samo podatne jak Windowsy

Bzdury, powtarzane od 15 lat przez fanów Windowsa.

Gdyby te farmazony, które powtarzacie były prawdą, byłoby pełno wirusów na Androida. A nie ma żadnych. Android to Linux i jest najpopularniejszym systemem mobilnym na świecie.

I to nie to, że nie było prób. Pisano przykładowe wirusy na Linuksa, ale wszystkie one wymagały wielokrotnej zgody użytkownika i podania hasła administratora aby mogły działać.

Dodano po 2 minutach 9 sekundach:
Fakty są takie, że na dzień dzisiejszy używanie Linuksa (i instalowanie oprogramowania tylko z bezpiecznych źródeł - a najlepiej tylko z repozytorium) jest praktycznie gwarantem 99,9999% bezpieczeństwa.

[Yogi77]

Bzdury, powtarzane od 15 lat przez fanów Windowsa.

Nie jestem fanem Windowsa i sam używam Linuxa jako domyślnego systemu

Natomiast napisać złośliwy kod na Linuxa jest tak samo prosto jak na Windowsa. Polecam wpisać w wyszukiwarke GNU\Linux Keylogger. Na githubie masz duży wybór

Gdyby te farmazony, które powtarzacie były prawdą, byłoby pełno wirusów na Androida. A nie ma żadnych. Android to Linux i jest najpopularniejszym systemem mobilnym na świecie.

Jakże nie ma żadnych ? Skąd masz takie informacje ?

I to nie to, że nie było prób. Pisano przykładowe wirusy na Linuksa, ale wszystkie one wymagały wielokrotnej zgody użytkownika i podania hasła administratora aby mogły działać.

No to właśnie o tym przecież piszę. Jeśli użytkownik sam wyrazi zgodę na zainstalowanie wirusa to nic nie zrobisz. I nie ważne czy to Windows czy Linux.

[ikswodnal]

No a my mało biegli w informatyce i kryptografii czyli ~ 95% społeczeństwa stajemy się coraz bardziej informatycznie wykluczeni .
O tyle to ważne, że upowszechnienie Bitcoina staje się coraz bardziej odległe

[ShadowOfHarbringer]

Jakże nie ma żadnych ? Skąd masz takie informacje ?

Bo nie ma. Na załatanego Androida nie ma na dzień dzisiejszy wirusów.

A jeżeli mówisz tutaj o oprogramowaniu złośliwym, które użytkownicy instalują samodzielnie, własnoręcznie wielokrotnie wyrażając zgodę na jego instalację, to to nie nazywa się wirus, tylko malware.

Nikt nie zabroni Ci się zabić albo okaleczyć. Jeżeli sam z własnej woli to robisz, to zabranianie Ci tego byłoby niemoralne i typowe dla totalitarnych ustrojów.

[mecenas]

@ShadowOfHarbringer, też od dawna używam minta (linuxa od 2004r.). Zastanawiam się, czy nie warto by było pousuwać z systemu jakieś pakiety odpowiedzialne za zdalny dostęp. Masz może gdzieś fachowy poradnik jak podnieść bezpieczeństwo minta?

[ShadowOfHarbringer]

No a my mało biegli w informatyce i kryptografii czyli ~ 95% społeczeństwa stajemy się coraz bardziej informatycznie wykluczeni .
O tyle to ważne, że upowszechnienie Bitcoina staje się coraz bardziej odległe

Moim zdaniem Bitcoin(Cash) upowszechni się maksymalnie dopiero gdy obecny system padnie na pysk.

Teraz ludzie nie mają żadnego musu, żeby używać kryptowalut. Ale gdy obecny system się wyłoży, a wyłoży się na pewno, to wtedy zaczną się uczyć i edukować, bo zostaną zmuszeni.

Technicznie rzecz biorąc, USD, EUR, GBP czy Złotówka to shitcoiny na poziomie Ripple, RAIblocks albo i gorzej. To się trzyma kupy tylko dlatego, że terror państwowy zabrania robić inaczej - każdy w Polsce za towar/usługę ma obowiązek przyjmować w płatności złotówki, jeżeli tego nie zrobi to wpadają bagiety, skarbówka i idzie do sztumu.

Tak tak - gwarantem utrzymania obecnego systemu walut fiducjarnych (fiat) są tylko i wyłącznie ludzkie przyzwyczajenia, wiara w "państwo" oraz terror.

Dodano po 2 minutach 27 sekundach:

@ShadowOfHarbringer, też od dawna używam minta (linuxa od 2004r.). Zastanawiam się, czy nie warto by było pousuwać z systemu jakieś pakiety odpowiedzialne za zdalny dostęp. Masz może gdzieś fachowy poradnik jak podnieść bezpieczeństwo minta?

Tak. To bardzo Łatwe.

Kod: Zaznacz cały

netstat -anp | grep LISTEN

Sprawdzasz co się pojawi na liście, sprawdzasz co to za usługi i do jakich programów należą i albo przekonfigurowywujesz i restartujesz usługę, albo wywalasz je w managerze pakietów.

5 minut roboty.

[mecenas]

5 minut roboty

Myślę, że jak dla mnie to działania zbyt zaawansowane, wolałbym wywalić (odinstalować) konkretne pakiety z systemu odpowiedzialne tylko za dostęp zdalny, tak aby stał się po prostu niemożliwy.