Klepetalnica - kar ne sodi drugam PART 9

[renegejd]

Jaz imam abanet, ki ima samo dig. potrdilo kolk je potem to zihr, recimo na lestvici od 1-10?

[vrecha]

... kolk je potem to zihr, recimo na lestvici od 1-10?

To je varno od 1-9, odvisno predvsem od tega, kako ti ravnaš s certifikatom.
Koristi prebrati, se potruditi razumeti in dosledno upoštevati navodila za uporabo in priporočila.
Za veliko večino uspešnih "vlomov" v osebne e-račune (ki jih je glede na to, koliko ljudi uporablja sistem, malo) je kriv človeški faktor in to tisti na strani uporabnika.
Govoriti in strašiti s poizkusi vlomov, če tudi resnimi - mimogrede, kaj je to? - je pa kar nekaj.

[nebivedu]

Jaz imam abanet, ki ima samo dig. potrdilo kolk je potem to zihr, recimo na lestvici od 1-10?

Banka ni odgovorna za uporabnikov računalnik. Posledično moraš sam skrbeti za varnost na svojem računalniku.
Prva stvar, ko inštaliraš certifikat, je, da obkljukaš pri uvozu da certifikat ni izvozljiv. Druga stvar je da daš password na certifikat in vsakič ko hočeš plačevat in te vpraša za certifikat, vpišeš to geslo. Potem pa še dvojna avtorizacija na elektronski banki.
S tem bi večino zahtev po varnosti izpolnil.

Potem je pa tukaj še zdrava pamet, da ko nekaj novega inštaliraš ali brskaš po internetnih straneh in ti ponudi kako pogovrono okno, ne klikaš samo ok, ampak prebereš, kaj te tam vpraša ali pa ti ponudi.
So že bila vprašanja ali dovoliš izvoz certifikata v kakih "zanimivih" aplikacijah in so ljudje samo klikali ok.

[danci1973]

NLB ima certifikat, potem pa še eno dodatno 'geslo' in vsakič, ko hočeš kaj plačati (razen kakšnih 'hitrih', vnaprej definiranih plačil), moraš odtipkati še dva znaka tega gesla (naključno izbrana, npr. prvi in sedmi znak).

Meni osebno je to čisto dovolj varno.

[nebivedu]

...Govoriti in strašiti s poizkusi vlomov, če tudi resnimi - mimogrede, kaj je to? - je pa kar nekaj.

Ne gre za strašenje, gre za osveščanje, kaj naj bi vsak naredil za svojo varnost na svojem računalniku. Večina klika OK toliko časa, da se program naloži, ali pa ko brska po internetnih straneh in se mu odpirajo okna ena za drugim. In to ni dobro. Če veš, da to delaš, potem moraš pač malo bolj zavarovati certifikat in ostale zadeve, za katere nočeš, da bi prišle v javnost.

Resen vdor = ko ti nekdo vdre, pride na tvoj računalnik, prevzame administratorja na njem in poizkuša pobrati vsa gesla, certifikat in vse uporabne podatke. Podatki so lahko pa marsikaj. Od podatkov plačilnih kartic, evidence transakcij, do kakih načrtov ali dokumentov.

Doma imam par serverjev od firm. Backup serverji, kjer v virtualkah laufajo komplet serverji z vsemi podatki parih firm. Po zakonu rabiš (ali pa boš rabil, ko bo sprejeto za male firme - kmalu) backup na oddaljeni lokaciji. In to jaz tržim za majhne firmice.

Pa da ne boš mislil, da je vdorov malo. Večina ima router nastavljen, da blokira ddos in ostale napade, tako da tega niti ne zaznajo, le občasno imajo interent malo počasnejši, pa niti ne vedo zakaj. Sam imam "sandbox" narejen, navzven se oglaša kot certificiran server in lovim pa IP-je, ter trojance, ki mi jih hočejo prenest na moj računalnik. V povprečju je nekje 1500 poiskusov vdorov na dan. Bili so že dnevi, ko jih je bilo 15.000. Dneva, ko nebi bilo nobenega ni. Večinoma so boti, ki probavajo dobiti dostop do mašine da bi se naredil zombi. Nekaj je takih,ki bi radi podatke. Bil je pa tudi že naročen vdor, vendar tip ni prišel daleč, ker smo vedeli, da se bo to zgodilo. Ena firma ima pri meni backup finančnih podatkov in je lastnik naročil test, da vdrejo in probajo priti do podatkov, ker se mu gre za varnost.

Se je pa že tudi zgodilo, da sem videl, kako tip brska po mašini in kje brska (na srečo v sandboxu), pa nisem mogel drugega kot kabel za mrežo iz stene potegnit in raziskat kako je prišel v mašino in kaj je vse pokvaril. Imam čisto kopijo sandboxa, ki ni na mreži in sandbox, pa lahko primerjam vse datoteke in mape, kje prihaja do razlik in tako poiščem, kaj vse se je spremenilo z vdorom.

Zombiji niso ravno hud vdor. Tam se samo prevzame računalnik za namen blokiranja kakega serverja, ko imaš pod svojo komando recimo 10.000 računalnikov in vsi naenkrat probajo dostopat do nekega serverja. Zaradi preveč povpraševanj se lahko potem tak server sesuje.

In kot delni poznavalec (ker vsega vseeno ne znam in obstajajo veliko boljši od mene tudi v sloveniji) lahko rečem, da v takih primerih je elektronska banka res odveč, ker moraš skrbeti še za dodatno varnost.
Poleg tega, pa nimam limitov, trajnikov in ostalih zadev, plačam lahko pa s paypal računom, če je kaj za nabavit preko interneta, tako da elektronske banke v resnici niti ne rabim.

[nebivedu]

NLB ima certifikat, potem pa še eno dodatno 'geslo' in vsakič, ko hočeš kaj plačati (razen kakšnih 'hitrih', vnaprej definiranih plačil), moraš odtipkati še dva znaka tega gesla (naključno izbrana, npr. prvi in sedmi znak).

Meni osebno je to čisto dovolj varno.

Kako imaš urejeno s certifikatom, ko si ga uvažal? Si vklopil da je neizvozljiv?

Ker ta certifikat je tvoja osebna kartica na internetu in v javnih službah (durs, furs, ajpes,...). V njem je zapisana tvoja davčna in ostali podatki, ki so relevantni za naročanje kakih storitev, z njim, če ti ga kdo vzame, ti lahko brska po tvojih podatkih na davčni, naroči kake izpise iz geodetskega zavoda (recimo listine o lastniku zemlje), .... Vsekakor ni ravno prijetnom, če ti nekdo ukrade identiteto.

[Fusion]

@nebivedu, sam za tebe očitno vedo, da imaš nekaj.
Dvomim, da do vsakega "Janeza" pride na dan po 1500+ poizkusov vdorov... Pa to bi internet crknu

[nebivedu]

Boti preverjajo redno večino IP-jev, da probajo dobit nove zombije. Edino tako večji napadi lahko uspejo.

Večina uporabnikov ima sicer blokirane porte in preventivo že na routerjih in zanjo sploh ne vedo. Zato teh napadov sploh ne opazijo. Zanimivo bi bilo enkrat malo loge ISP-jev pogledat.

[irCAR81]

Tega naključnega skeniranja je ogromno, lahko tudi jaz potrdim. Občasno se pa kdo bolj resno loti in gre po vseh portih, po vseh zunanjih IP-jih (če jih imaš več). Če to zaznaš je mogoče na mestu tak IP kar blokirati. Težje je zaznati če se te nekdo loti počasi, parcialno, iz več IP-jev.

Zanimivo je tudi spremljati kam se povezuje tvoj PC, ko imaš enkrat w8.1, office, adobe, dropbox in še kakšno kramo. Če se sekiraš ti zna kar ubit živce, sploh če si želiš imeti nekako pod nadzorom.

Če pa si res rahlih živcev in bereš tehnološke forume, kako zgledajo resni vdori je pa itak bolje da računalnika sploh nimaš.

Kar se certifikata tiče, odkljukati da ni izvozljiv je praktično brezveze, ker z lokalnim adminom, kar je 99% lahko certifikat še zmeraj dost simpl izvoziš. Po mojem mnenju je boljša rešitev je pametni ključek, ki je seveda izklopljen iz računalnika, ko ni v uporabi.

Glede nameščanja shareware programov je res treba prebrati, kaj piše pri tistih kljukicah, dostikrat je pri kakšnem odkljukano da ti še kaj namesti, kdaj je pa treba dati kljukico, da ti ne namesti... sigurno pa kdaj sploh ni na izbiro, pa vseeno namesti še kaj, kar nebi rad imel.

[nebivedu]

Sam imam svoj certifikat na ključku, kjer imam še firefoxa in javo, oboje "portable edition". Ključek vklopim in zaženem firefox iz ključka, pa lahko delam z dursom in z oddaljenim dostopomo do službe. Ko končam, gre ključek v predal.

[danci1973]

Tega naključnega skeniranja je ogromno, lahko tudi jaz potrdim. Občasno se pa kdo bolj resno loti in gre po vseh portih, po vseh zunanjih IP-jih (če jih imaš več). Če to zaznaš je mogoče na mestu tak IP kar blokirati. Težje je zaznati če se te nekdo loti počasi, parcialno, iz več IP-jev.

http://www.fail2ban.org/wiki/index.php/Main_Page

Jaz uporabljam nekaj podobnega in deluje super. Itak imam na firewall-u odprte samo tiste porte, ki pač res morajo bit odprti (pop3, imap, ssh, ...) in za vse te servise na vseh serverjih nadziram neuspešne prijave - in tiste IP-je, s katerih se večkrat neuspešno prijavi, blokiram.

S tem blokiram med 6-15 IP-jev na dan, občasno pa se zgodi, da tudi bistveno več (zadnja 'špica' je bila 43).

Včasih se sicer zgodi, da se tudi kak legitimni uporabnik uspe blokirat, ker pač tipka napačno geslo...

Kar se certifikata tiče, odkljukati da ni izvozljiv je praktično brezveze, ker z lokalnim adminom, kar je 99% lahko certifikat še zmeraj dost simpl izvoziš. Po mojem mnenju je boljša rešitev je pametni ključek, ki je seveda izklopljen iz računalnika, ko ni v uporabi.

Jaz uporabljam Firefox z 'master password'-om, kar naj bi bilo precej ziher.

Ključ naj bi bil shranjen v kodirano obliki, Firefox naj bi si zapomnil geslo za ključ, ki pa je tudi zakodirano z 'master password'-om...

A bi se tudi to naj dalo 'dost simpl' izvozit?

Glede nameščanja shareware programov je res treba prebrati, kaj piše pri tistih kljukicah, dostikrat je pri kakšnem odkljukano da ti še kaj namesti, kdaj je pa treba dati kljukico, da ti ne namesti... sigurno pa kdaj sploh ni na izbiro, pa vseeno namesti še kaj, kar nebi rad imel.

Dejansko glavna nevarnost niso 'aktivni' vdori, ker večina ljudi itak nima svojih Winblowzov direktno na net-u, ampak ima vmes kak router, pa na mreži uporablja 'unrouteable' IP-je in NAT.

Večino malware-a si ljudje namestijo sami z 'brezglavim' klikanjem.

[irCAR81]

Jaz uporabljam Firefox z 'master password'-om, kar naj bi bilo precej ziher.

Ključ naj bi bil shranjen v kodirano obliki, Firefox naj bi si zapomnil geslo za ključ, ki pa je tudi zakodirano z 'master password'-om...

A bi se tudi to naj dalo 'dost simpl' izvozit?

Nisem še probaval, samo za windows sistemsko shrambo sem rabil rešitev, ker so uporabniki uvozili certifikate kot neizvozljive ob menjavi računalnikov pa niso želeli naročati novih.

[nebivedu]

Kar se certifikata tiče, odkljukati da ni izvozljiv je praktično brezveze, ker z lokalnim adminom, kar je 99% lahko certifikat še zmeraj dost simpl izvoziš. Po mojem mnenju je boljša rešitev je pametni ključek, ki je seveda izklopljen iz računalnika, ko ni v uporabi.

Jaz uporabljam Firefox z 'master password'-om, kar naj bi bilo precej ziher.

Ključ naj bi bil shranjen v kodirano obliki, Firefox naj bi si zapomnil geslo za ključ, ki pa je tudi zakodirano z 'master password'-om...

A bi se tudi to naj dalo 'dost simpl' izvozit?

Jap. Samo vedet moraš, kje se nahaja ključ. Ker na žalost ga firefox ne kodira, niti mu ne zapiše, da je "nonexportable", ampak samo preimenuje. Tako da če veš kje so certifikati, ga brez problema snameš tudi brez da zalaufaš firefox na računalniku.

Firefox does not adhere to "non-exportable" flag set on a certificate

All certificates are exportable in the Firefox web browser

vir: http://www.vertifi.com/help/setup/Archi ... icates.htm" onclick="window.open(this.href);return false;


Za kakršenkoli nonexportable certifikat snet iz sistema obstaja tudi en francoski programček
http://blog.gentilkiwi.com/mimikatz

[vrecha]

No, pa je iz strašenja nastalo osveščanje.
Tnx.

[ijuvan]

Da malo prekinem bančništvo :P

V nedeljo vam bo po pikniki ziher pasalo še malo kulture, kar pomeni da vas bo zaneslo na Ljubljanski grad, kjer imamo ponovitev letnega koncerta plesalci AFS France Marolt v sodelovanju z orkestrom Crescendo.
vabljeni!

http://www.mojekarte.si/si/ponovitev-ga ... 99773.html" onclick="window.open(this.href);return false;