W sumie nikt nie popełniał chyba jeszcze wpisu o Yubikeyach, więc potencjalny autorze - jako uzupełnienie tego wpisu masz szansę
No, ale nie o tym.
Zapewne większość z was uwierzytelnia różne rzeczy telefonem - czy to aplikacją bankową, czy też korzystając z aplikacji typu Google Authenticathor, Authy, 2FAS, Ping iD. Wiecie, jak to skonfigurować i jak obsługiwać. Ale czemu działa? I dlaczego jak zgubimy telefon i nie mamy kopii zapasowej, to nie można nijak odzyskać konta bez kodów generowanych przy podpinaniu aplikacji / klucza uwierzytelniającego?
Aby nie pomieszać (bo klucze sprzętowe typu Yubikey to jedno, a aplikacje generujące kody to drugie) warto poznać pojęcie TOTP (Time Based One Time Password). To ten 6-cyfrowy kod, który zmienia się co 30 sekund, który generuje nam aplikacja. To działa, bo istnieje "sekret", który zna authenticator. Owym "sekretem" jest właśnie jest kod (kreskowy, QR itp), który skanuje się łącząc aplikację z kontem. Gdy apka uwierzytelniająca "zna" ten sekret, może wypluwać 6-cyfrowe kody, które pozwolą na zalogowanie się - ale uwaga - nigdy nie ujawnia go ponownie i nie ma jak jej go z bebechów wydłubać.
W przypadku aplikacji na smartfony "sekret" jest przechowywany w telefonie. W przypadku kluczy sprzętowych takich jak Yubikey, "sekret" jest przechowywany TYLKO na kluczu (i ujawniony, gdy podłączysz klucz do dowolnego urządzenia, na którym możesz uruchomić Yubikey Authenticator).
Korzystając z aplikacji uwierzytelniających Jeśli chcesz, możesz wydrukować kod kreskowy / QR (czyli ów "sekret") i załadować go do wielu urządzeń (czyli np. 3 smarfony będą w stanie generować te same kody) na początku, gdy po raz pierwszy ustawiasz TOTP lub później w dowolnym terminie. Czyli tylko aplikacje, które "widziały" ów konkretny, sekretny kod będą w stanie generować dla użytkownika działające kody.
Ogólnie przyjmuje się, że najlepiej jest mieć "sekret" w dwóch miejscach, zwłaszcza w przypadku stron / kont, które nie dają opcji awaryjnego uwierzytelniania np. przy pomocy SMS (a pamiętajmy, że opcja awaryjna czyni rzeczy MNIEJ bezpiecznymi np. ta SMS-owa jest podatna na kradzież / klonowanie karty SIM). Większość ludzi w takiej sytuacji skorzystałaby z dwóch fizycznych kluczy (dlatego doradza się od razu kupowanie zapasowego), przechowywałaby wydrukowaną kopię "sekretu" do konfiguracji authenticatorów, albo kodów do odzyskwania konta gdzieś w bezpiecznym miejscu.
To, co warto zrozumieć i zapamiętać, to fakt, że nie możba NIGDY wydostać sekretu z Yubikey lub aplikacji typu Google Authenticator. Nie ma także sposobu na wykonanie kopii zapasowej klucza Yubikey lub Google Authenticator bez oryginalnego kodu kreskowego (lub jego odpowiednika tekstowego).
Klucze Yubikey obsługują również U2F, który jest lepszym, bardziej bezpiecznym rozwiązaniem od TOTP, ponieważ nie ma tu kodu, który można wyłudzić. Niestety wsparcie dla tej opcji jest rzadziej spotykane niż dla TOTP, ale zdecydowanie lepiej jest używać go, jeśli się ma taką możliwość. Jest to coś, czego prawdopodobnie nigdy nie próbowałeś, jeśli nie masz jakiejś odmiany klucza sprzętowego.
Na koniec ciekawostka: żaden polski bank nie umożliwia dodatkowego zabezpieczenia swojego konta przy pomocy kluczy sprzętowych i mimo plotek o trwających pracach, od dwóch lat temat z miejsca nie ruszył.
Uwaga: wyjaśnienie znalazłam w necie i przerobiłam, żeby się lepiej czytało i było przystępniejsze dla przeciętnego człowieka. Wg mojej wiedzy trzyma się kupy, ale jeśli ktoś znacznie lepiej obeznany ode mnie dostrzeże nieścisłości, to proszę o sprostowanie
W ogóle to ciekawe, czy ktoś tę ścianę tekstu w ogóle przeczyta
A tu trochę info o kluczach (i niech was nie pokusi kupować kiedykolwiek używki, czy korzystać z jakiegoś znalezionego na ulicy
@kosik jakieś formy backupu są (nie wiem jak na Androidzie, na iOS na pewno, bo mój migrowało w backupie). Ale raczej nie wyciągniesz z niego tego kodu kreskowego do ponownego zeskanowania, bo to byłby gigantyczny wektor potencjalnego ataku.
Czy warto zainstalować aplikację mobilną swojego banku?
Tomki, warto przeczytać artykuł z linku, zwłaszcza jeżeli ktoś ma jakieś obiekcje.
Niektórzy z Was boją się aplikacji mobilnych swoich banków. Czasem piszecie do nas i pytacie “czy apka banku jest bezpieczna”? Albo wprost informujecie nas, że apki banku nie zainstalujecie i pytacie co Wam grozi, jeśli pozostaniecie przy potwierdzaniu transakcji SMS-em? Czy strach przed instalacją aplikacji mobilnej banku jest uzasadniony? Dziś spróbujemy odpowiedzieć na te pytania.
Artykuł o backupie zniknął i go nie będzie. Muszę to rozpisać trochę inaczej. Nie było ładu i składu.
Chyba najgorszy temat o jakim można pisać w securit jak dla mnie. Jest strasznie rozległy i żeby było dobrze trzeba opowiedzieć o wszystkim. Mam plan rozdzielić to na trzy albo cztery części nawet.
Muszę znaleźć na to sposób. Na ten moment przepraszam za zamieszanie, w piątek mam podróż pociągiem to napiszę coś o DLP albo UTMach
Nie dodałem ostatnio nic bo leżałem chory, dzisiaj jeszcze odpocznę ale jutro już coś dla was napiszę! Obiecuje!
Poniżej ciekawostka która się wydarzyła stosunkowo niedawno
Ktoś wysłał komornikom fałszywą wiadomość e-mail i wyłudził od nich hasła do portalu Krajowej Rady Komorniczej. Komornicy publikują tam obwieszczenia o licytacjach, np. zajętych nieruchomości. Atakujący ze zhackowanycych kont komorników opublikował fałszywe obwieszczenia — zaproszenia do licytacji. Osoby, które zdecydowały się przystąpić do tych licytacji, zgodnie z wymogami musiały wpłacić wadium. Problem w tym, że podane konto bankowe należało do złodzieja…
Luka jest na tyle poważna, że ekipa OpenSSL zdecydowała się informację o łatce ogłosić odpowiednio wcześnie:
Pełna informacja o szczegółach podatności (i zapewne exploit…) pojawi się 1. listopada. Jak widzimy całość dotyka tylko linii 3.x OpenSSL.
Warto też podkreślić, że ekipa OpenSSLa zachowuje status 'Critical’ na naprawdę poważne okazje. Od początku szacowania podatności (koniec 2014 roku), ta etykieta była do tej pory zastosowana tylko raz
@Takebushi @Nebthtet Wiadomo, jednak warto zwrócić uwagę na problem. Ja u klientów spotykam jeszcze W98 bo jakiś program na nich działa. Tu nie ma co dyskutować xDDD
Ale małysz. Nikt już SSL-a nie używa. Od lat świat jest TLS-only.
@Takebushi zdziwiłbyś się: SSL to powszechna nazwa na Secure Socket Layer rozumiane jako ogólne pojęcie "połączenie szyfrowane". Nie mylić, tak jak to zrobiłeś z protokołem SSL, którego zabił google swoim 0 day i który został zastąpiony przez TLS. Nawet nikt nie wspomina o HTTPS. OpenSSL jest podstawą szyfrowanej komunikacji pomiędzy serwerami. Korzysta zeń większość bibliotek systemowych, aplikacji i nie tylko na linux ale także windows. Po co samemu implementować, skoro jest OpenSSL? Przykład aplikacji korzystającej z OpenSSL: ssh.
Jako że stworzona społecznośc cybersecurity ma nie tylko uczyć ale i chronić to jest ważna informacja!
Informujecie nas, że otrzymujecie SMS-y z numeru “669979971“, które przywołują w treści marki “Inpost” i “PGE”. Wiadomości zachęcają do odwiedzenia strony CBZC i zastanawiacie się o co chodzi… Uspokajamy: to nie atak, to akcja Centralnego Biura Zwalczania Cyberprzestępczości. Policjanci ostatnio złapali szajkę okradającą Polaków takimi SMS-ami i aktualnie poszukują poszkodowanych, którzy w wyniku złośliwych SMS-ów mogli stracić pieniądze. Jeśli straciłeś pieniądze na skutek tego oszustwa lub znasz kogoś kto je stracił — zobacz co należy zrobić.
@SuperSzturmowiec to racja. W szkole na informatyce powinni uczyć na co uważać, a było rysowanie w paint. Chociaż zagrożenia też są świeże więc ciężko.
Chyba trzeba traktować to tak że jak widzisz co ktoś odwala to wiesz z kim masz do czynienia xD
Jeżeli jesteście chętni do rozpoczęcia waszej przygody z certyfikacjami takimi jak np. OSCP to warto przed podejściem do egzaminu postawić własne środowisko laboratoryjne, na którym będziecie mogli atakować podatne maszyny wirtualne np pobrane z vulhub: https://www.vulnhub.com/
Zanim jednak zaczniecie to robić, polecam przejście przez całą ścieżkę pre-security oraz jr penetration tester na https://tryhackme.com/
subskrypcja kosztuje 10$, ale ilość labów i wiedzy jest tego warta.
Skradziono mi konto na gmailu, ktoś/bot zmienił adres pomocniczy i numer telefonu, absolutnie nie jestem w stanie odzyskać konta w normalnym trybie i mimo, że zdaję sobie sprawę, że szansa na odzyskanie konta jest znikoma, to chcę spróbować.
Konto było używane głównie dla "google docs" i bardzo szkoda mi moich myśli, które zapisywałem tam od dwóch lat. Brak walki do końca byłby oznaką braku szacunku dla samego siebie.
Pytanie: czy ktoś zna stronę na której będę mógł skorzystać z formularza i opisać dokładnie co się wydarzyło, spróbować udowodnić, że doszło do włamania? Mam problem ze znalezieniem takowej strony, znajduje tylko te strony, w której są rozpisane klasyczne metody odzyskania. Podczas poprzedniego włamania na inne moje konto google, osoba atakująca skupiła się na koncie YT, wtedy łatwo znalazłem formularz, opisałem sytuację i, o dziwo, konto zostało odblokowane - za co pełen propsik.
Logicznie rzecz biorąc - w przypadku ogólnego konta google też powinna być taka opcja - czy ktoś z Was kojarzy lub ktoś z lepszymi umiejętnościami znajdowania rzeczy w internecie mógłby mi pomóc? Będę bardzo wdzięczny i postaram się jakkolwiek odwdzięczyć.
Udanego dnia, ludziska - zabezpieczajcie swoje konta i róbcie backupy, nie bądźcie takim frajerem, jak ja.
Co tydzień będziemy publikować 5 linków związanych z siecią i technologiami sieciowymi.
Warstwa pierwsza prawie w każdym projekcie sieci jest traktowana po macoszemu. To są te kabelki, które ktoś tam położył i co ja mam zrobić? Malcolm Booden pokazuje jak projektować L1 w stylu inżyniera CCDE.
Prawie wszystko jest podrabiane. Od ubrań przez elektronikę aż po samochody. Tu masz artykuł (plik pdf) od F-secure jak odróżnić podrabiane switche Cisco od oryginalnych. Tak, urządzenia sieciowe nie są wyjątkiem. Też są podróbki.
Jak będzie wyglądać, lub jak wygląda TCP w sieciach bezprzewodowych a szczególnie w 5G. Przestaniemy traktować Internet i świat 5G jako osobne byty. Będzie liczył się cały system - end to end. Więcej w artykule.
Za kilka dni nowy rok. Co przyniesie 2022 w sieciach. Według autora 5G, O-RAN będą tematami przewodnimi. SD-WAN będzie walczył z MPLS. Hasłem roku będzie wirtualizacja.
Masz to zaktualizowania 250 przełączników Cisco. Jak to robisz? Oczywiście, że szukasz automatu, o ile środowisko i architektura na to pozwala. Tu masz przykład jak można to zrobić za pomocą Anisible.
daje screena a nie linka żeby nie być posądzony o jakieś akcje reklamowe Nazwy sprzedającego tez nie ma.
A czemu to daje ? bo śmiechłem mocno czy ktoś się na takie cos nabierze.
Nie wiem jak Wy ale ja widząc te ofertę odrazu mam w głowie akcje z przed kilku miesiecy gdzie potajemnie rozprowadzane szyfrowane smartfony dla bossów mafii okazały sie być dziełem inżynierów NSA
