@Banan11 Ale jak sprawdzić, czy moje też wyciekło?

Drodzy czytelnicy, zanim wrzucicie tam jakiś plik, wiedzcie, że każdy uploadowany dokument, staje się publicznie dostępny dla każdego użytkownika tegoż portalu.

Dostałem scam od inPost więc oni pewnie też z niej korzystali

Muszę to sprawdzić brzmi ciekawie

ale oni sie sprzedają na psiarni

@doki16 im więcej graczy na rynku tym lepiej. Mam nadzieję że kiedyś powstanie pakiet biurowy w cloudzie inny niż Google, to by był sztos.

@doki16 No ale to potwierdzone info? Bo większośc komentarzy na Twitterze wspomina, że przyszedł zwykły regulamin.

@doki16 Grubo, ciekawe czy obejdzie się bez kar od UODO podobnie jak w przypadku morele.

@Marchew od kiedy fbi zajmuje sie czymkolwiek poza granicami swojego kraju?

@zuchtomek XDD

@doki16 Dopóki nie pojawią się dane z tych "30%", nie uwierzę.

@Marchew a wiesz może czy użycie vpna chroni przed takim atakiem?

@zuchtomek bruteforce online? Oczywiście możliwe, na moją spam pocztę próbowano się logować w szczycie po kilka tysięcy razy miesięcznie Co do ilości kombinacji: prawidłowa wartość to: 100 000 000. Szczerze wątpię aby ktoś to brutalforcował. Ale próby wspomnianą datą urodzenia są możliwe, ale po co skoro (o ile mi wiadomo) każde konto musi posiadać 2FA w postaci appki/sms?

Norton złamany? To fałszywe informacje Ktoś wpadł na pomysł aby stare ogólnodostępne zestawy mail:pass z gówno serwisów użyć do NortonManager i ... podziałało. Problemem było używanie hasła lubianego od lat do managera haseł.

Co do LastPass, hasła nie wyciekły, a jedynie lista witryn www do których delikwent hasło posiadał. Fakt, to już kompromitacja.

@Jezyna Trzy próby to średnia opcja, często zdarza mi się logować na nie mój ID klienta (te cyferki się mylą). Innym prawdopodobnie też Ilość klientów zgłaszających "atak hakerski" była by zbyt obciążająca infolinię.

@vealen do końca nie rozumiem sensu częstej zmiany hasła. Kiedyś miało to sens, hasła wyciskały, bazy MD5 szybko się poddawały. Ale dziś? Sole, pieprze, Argony, bCrypty, sCrypty...

@zuchtomek nie no byku trochę generalizujesz i omijasz o tym czym była mowa jednoczenie trochę mówiąc nieprawdę.

Najczesciej hasła wyciekają nie przez targetowany attack, tylko przez, jak sam zgrabnie i poprawnie zauważyłeś przez leaki wszelkiej maści albo poprzez metody społeczne lub najzwyklejszy , najskuteczniejszy phishing.

Ale załóżmy że ktoś spróbuje zgadnąć hasło bezpośrednio.

To jest taka różnica, że nawet po tym znalezisku co wrzuciłeś już wiemy że w millenium mamy numeryczne hasła.

Czyli atakujący w pierwszej kolejności najpewniej sprawdzi kombinacje datowe charakterystyczne dla ofiary, urodziny itp.

Gdy już wszelkie poszlaki zawioda zostaje zgadywankę. No i tutaj już liczba znaków ratuje dupę.

Gdy wchodzą znaki alfabetu łacińskiego skuteczny okaże się też atak słownikowy w oparciu o najpopularniejsze hasła.

Jednak gdy to zawiedzie zostaje zawsze skuteczny ( w teorii) jednak nieefektywny bruteforce.

No i tutaj już to o czym wspomniałeś, że przy tej samej długości nie ma znaczenia złożoność hasła jest totalna bzdura

Oczywiście tak jak słusznie zauważyłeś atakujący nie wie z jakich znaków się składa hasło. Jednak ludzie to lenie więc najpewniej będzie najprostsze hasło, bez żadnych symboli, chyba że wymaga tego serwis.

Więc atak brute force w pierwszej kolejności przeskoczy podstawowym alfabetem i potem będzie zwiększać złożoność kombinacji dodając kolejne znaki, kombinacje itd.

Ale to już tylko akademickie dywagacje i pierdolenie xd

Już nie będę dywagować na temat bezpieczeństwa chmurowych menadżerów, bo to temat na inną rozmowa. Mam na myśli najprostszy menadzer z lokalna baza haseł zabezpieczony hasłem zbiorczym i do tego hashowany plikiem, który trzymamy na fizycznych pendrive'ach. Już nie będę wspominał o rozwiązaniach typu yubikey. I wtedy zagrożenie wyciekiem nie istnieje. Oczywiście, ktoś kto porywa się na takie zabezpieczenia jest świadomy że USB z bazą/kluczem musi latać z tobą na wakacje. Jednak warto imo

Ogólnie dojebales z tą złożonością i jej brakiem znaczenia. Jednak masz totalnie rację w wszechobecnym 2FA, bardzo złożone hasła są niemalże zbędne. Jednak powinniśmy unikać hasel które mogą pojawić się w słowniku i lepiej skłonic się ku kombinacjom, nawet najprostszym i do tego wspomniane 2FA.

Peace

@Marchew Nie wiem co się tego bruteforce online czepiliście jak już w pierwszym komentarzu wspomniałem o tym, że każdy to wykryje (aczkolwiek znając ograniczenia, posiadając odpowiednio dużą farmę botów i atakując masowo różne loginy i hasła jest to teoretycznie zasadny atak - w każdym razie o wiele bardziej realny gdy znamy konkretną długość hasła i loginu użytkownika)

ale po co skoro (o ile mi wiadomo) każde konto musi posiadać 2FA w postaci appki/sms?

Ale chyba nie do samego logowania?

Jak już się zalogujesz na czyjeś konto i masz choćby wgląd w jego ustawienia, adres, ostatnie operacje itd. to już o wiele łatwiej o jakiś telefoniczny scam i wydobycie kodu.

@Jezyna No PINem jednak nie możesz zarządzać kontem, ani nawet podejrzeć danych, a i same wypłaty z bankomatu są z reguły ograniczone do kilku tysięcy, a nie całości konta (nie zapominając, że do wypłaty przydałoby się jeszcze kartę posiadać)

@vealen Oczywiście, że generalizuję i teoretyzuję. Nigdzie nie napisałem, że nagle zaczną masowo hakować, tylko tyle, że jest to 'łatwiejsze'.

Więc atak brute force w pierwszej kolejności przeskoczy podstawowym alfabetem i potem będzie zwiększać złożoność kombinacji dodając kolejne znaki, kombinacje itd.

No więc zgadzasz się, że metoda będzie taka sama, to że alfanumeryczne 'zgadnie' szybciej to tylko pobożne życzenia - zresztą nie jest mowa o pojedynczym słowie, a ich kombinacji bo jest zasadnicza różnica między hasłem pies1234, a piesazor - drugie mimo, że składa się ze słów słownikowych będzie 'trudniejsze' do zgadnięcia bo tak jak pisałeś - ludzie idą na łatwiznę i automaty sprawdzają kombinacje 'słowo + standardowe kombinacje cyfr', ale 'słowo + słowo' dopiero później o ile w ogóle.

Znów tu uprościłeś za bardzo, a to niby ja generalizuję.

Przecież nie chodzi mi, że to zostawienie otwartych drzwi tylko jak to zręcznie ująłeś 'alademickie pierdolenie', bo taki atak i tak jest skrajnie nieefektywny, ale wciąż 'łatwiejszy' niż w przypadku dostępności wszystkich znaków w haśle z czym się chyba wszyscy zgadzamy

@dext3 Niby i tak ale nie do konca, sa rozne wydzialy, ECG (Education Compliance Governance) ktory zajmuje sie formalizacja ryzyka i papierologia, jest wydzial archiektury (to jest opus magnum gdzie musisz sie znac na wszystkim) i jest moj wydzial czysto techniczny gdzie zajmuje sie implementacja gotowych rozwiazan, w praktyce to roznie wyglada i moga byc rozne kategoryzacje, gdzie archiektura i implementacja moga byc jednym.

Ja jako tako pomagam z archiektura ale tez nie duzo bo to nie jest moja specjalizacja i mam braki tu i tam.

Do czego darze, brakuje ludzi fest, w wiekszosci brakuje ludzi z doswiadczeniem ale jest wiele firm ktore wezma kogos swiezszego do wyszkolenia, bo taniej, jesli masz dobre podejscie i dobre podstawy to prace by sie dalo znalezc (przynajmniej w UK).

Ja troche robilem w IT pokrewnym temacie i udalo mi sie swego czasu wbic.

Z mojej perspektywy jak jestes kumaty, umiesz czytac dokumentacje, umiesz rozwiazywac problemy, a przede wszystkim umiesz ludziom powiedziec 'NIE' w przystepnej formie to praca sie znajdzie, BAU (busniess as usual) to glownie ja odmawiajacy wszystkiego, jakie ja czasami tickety dostaje to jest masakra.

Mi na przyklad brakuje jesli chodzi o sieci, mam w wydziale geniusza architekturalnego co sie przebranzawia, gosc jest wspanialy ale przez to ze wywodzi sie z innej dziedziny nie wszystko robi jak powinien. Moglbym sie duzo rozpisywac na ten temat.

@100lem

Poswiece kilka postow na podstawy, tylko musisz sobie zdawac sprawe ze to jest dluuuga droga dla kogos kto nie robil nigdy w IT.

Jak wszystko wyjdzie (aktualnie pisze pierwszego posta i no nie powiem pisarz ze mnie slaby) to na pewno poswiece kilka postow nawet na to.

@DOgi Jezusie Chrystusie na cholere Ci task manager jako admin? Ale no z Hindusami tak czasami jest, staram sie nie byc rasistowski, wielu z nich jest naprawde zajebista w tym co robia, ale z niektorymi to sie nie da dogadac. Nie lubia outsourcingu IT (a wyobrazam sobie ze dlatego masz Hindusow), jaka firma? Czyzby TCS najwieksza Indyjska firma IT?

@katarzyna-bluesky Wyborami? Pracuje w finansach jako takich, ciezko u mnie z dobrymi ludzmi i raczej malo kogo zwalniaja.

@Michumi Falcon od CrowdStrike'a, jesli chodzi o EDR to tez mozna by sie rozpisywac xd tematow jest naprawde duzo. Mamy EDR, mamy Insider Threat Monitoring, mamy PAM, mamy Endpoint Privilege Manager, jest DLP (skutecznosc DLP IMHO zalezy glownie od konfiguracji), jest access certification, jest SIEM (wolalbym XDR ale zmiany w korpo nie przychodza latwo xd), jest naprawde od groma wszystkiego, na ile byloby to skuteczne? Wszystko zalezy od atakujacego, na zwyklych ruskich/chinczykow/iranczykow/koreanczykow wystarczy co jest, jakbys jakis rzad chcial nam dane wykrasc to pewnie by nie mieli problemu xd ale nie widze czemu by mieli.

Ogolnie cala dziedzina stoi na glinianych nogach IMHO, ale to w sumie nie bylo pytaniem xd

@CyberHorns Aktualnie nie po raz pierwszy od dawna mamy caly team i nie zapowiada sie na to zeby ktos mial odchodzic w najblizszej przyszlosci.

Jesli jestes w UK na poludniu (Hampshire, Wiltshire i okolice to zawsze mozna sie spotkac, w Portmsmouth bedzie hackaton jakos niedlugo i moze bym sie wybral).

Co do pomocy to nawet nie wiem czy cos z tych moich postow, poki co jestem na wakacjach, mam energie to moge cos naskrobac, jak sie wakacje skoncza i mnie znowu praca przytloczy to moze byc roznie xd ale bede pamietal jak cos. Zapraszam na PW zawsze.

@CyberPope na co mi task manager z podniesionymi uprawnieniami? Z powodu pewnej pozornie zwykłej funkcji: Plik -> Uruchom ( ͡° ͜ʖ ͡°)

A oficjalnie: przygotowuję się do egzaminu i apka dostawcy egzaminów wymaga admina, aby ubijać procesy. Ale niestety nie działa to zbyt dobrze i trzeba sobie ubijać je samemu. Dzięki temu, że zostawiają mi włączony taskmgr mogę sobie ubić procesy, gdy apka akurat tego zażąda.

@DOgi O Ty ancymonie, tego sie nie spodziewalem, uzytkownik to jednak umie wymyslec ( ͡° ʖ̯ ͡°)

JEZUSIE CHRYSTUSIE APKA DOSTAWCY EGZAMINOW? KTO SIE NA TO ZGODZIL. I KTO W OGOLE WYPUSCIL TAKA LEDWO DZIALAJACA APKE.

Na szczescie w aktualnej firmie albo takie requesty ida przez odpowiedni proces (i wtedy ja nic nie wiem) albo ida przeze mnie i wtedy mowie ludziom zeby spadali na drzewo.

Nie ma nic gorszego niz ludzie majacy egzamin tego samego dnia i ticket ze oni tego potrzebuja, ja to drodzy panstwo mam w dupie i to nie moj problem - The Korpo Way.

@Wisienkowy hej! 7 lat to już trochę jest skoro już tyle, to rozumiem, że nie narzekasz?

@MHLDSW Były gorsze i lepsze momenty. Przedmówca nakreślił już jak wygląda to i owo. Na pewno nie jest to kołchoz jak GFT.

@Wisienkowy w przyszłym tygodniu powinienem dostać odpowiedź i może się przekonam jak tam u was jest