trwa ładowanie paska...
24-05-2019, 09:49:27 *
Aktualności:
Wybierz jezyk:
 
   Forum   Regulamin Zaloguj się Rejestracja   Tagi
Strony: Pierwsza « 1 ... 5 6 7 8 9 ... 12 » Ostatnia +   Do dołu
  Drukuj  
Autor Wątek: Cybersurvival - Aktualności  (Przeczytany 55454 razy)
0 użytkowników i 1 Gość przeglądają ten wątek.
turystyk
Szef działu
Opinii: (1)
*****
Offline Offline

Miejsce pobytu: Tactical as fuck
wiadomości: 920


RED TEAM



« Odpowiedz #90 : 29-10-2015, 08:59:39 »

Nie znam się to się wypowiem   Są dwa sposoby ataku na karty RFID (przynajmniej dwa najczęściej stosowane i niewymagające wielkiej wiedzy i wysokich nakładów).
1. klonowanie karty
2. przedłużenie terminala
Pierwszy polega na wcześniejszym zeskimmowaniu karty i jej np. wyemulowaniu na z pomocą modułu NFC telefonu. Drugi wymaga dwóch osób i połączenia internetowego pomiędzy ich telefonami, które "przedłuża" terminal płatniczy przez ten Internet. W pierwszym przypadku trzeba się spieszyć, żeby dokonać transakcji przed właścicielem z prawdziwą kartą (zmiana jednorazowego CVV) w drugim ten problem nas nie dotyczy. Ale można dokonywać płatności tylko poniżej limitu na karcie, inaczej potrzeba PINu.

Dobre czytniki poradzą sobie spokojnie z wieloma kartami jednocześnie, ba umożliwią odczytanie wszystkich z odległości ~ 3m, także nie trzeba się już gimnastykować i obmacywać w autobusie, wystarczy przejść sobie spokojnie. Zależy jeszcze czy karty low frequency czy high.

Co do ochrony, na początku zalecano nawet owinięcie karty folią aluminiową, obecnie z tego co mi wiadomo (jak wrócę do domu poszukam researchu) przy mocniejszych czytnikach ten sposób nie działa. Najpewniejszym rozwiązaniem są portfele rfid block lub blokada zbliżeniówki. Dodatkowym może nie zabezpieczeniem, ale utrudnieniem, jest przelewanie sobie z konta (oczywiście nie tego z dużą ilością $$  ) na kartę tuż przed transakcją, skraca to czas ekspozycji na atak, bo jeśli na karcie jest 0, to gościa czeka niemiła niespodzianka ;P. Oczywiście tutaj trzeba użyć GSM, bo używanie wszelkich hotspotów to aż proszenie się o kłopoty. Nie wspominając o "nakładkach", na okno przelewu, gdzie tak naprawdę inna suma, trafia na inne konto (kolejny rodzaj ataku, możliwy przez zainfekowanie telefonu for example).

EDIT:
Newsik z dzisiaj,
http://xenbits.xen.org/xsa/advisory-148.html
Można się wydostać z xena.
« Ostatnia zmiana: 02-11-2015, 19:53:32 wysłane przez turystyk » Zapisane

Boom stick!
KKK - Kelly Kettle Klan!

There is no possibility to patch human stupidity.
Było minęło, jak partia demokratów.
turystyk
Szef działu
Opinii: (1)
*****
Offline Offline

Miejsce pobytu: Tactical as fuck
wiadomości: 920


RED TEAM



« Odpowiedz #91 : 02-11-2015, 19:46:04 »

Xen c.d. ładnie... 
https://nakedsecurity.sophos.com/2015/11/02/critical-xen-vulnerability-went-undiscovered-for-seven-years/
Zapisane

Boom stick!
KKK - Kelly Kettle Klan!

There is no possibility to patch human stupidity.
Było minęło, jak partia demokratów.
aniol
Opinii: (4)
Ekspert
*****
Offline Offline

Płeć: Mężczyzna
Wiek: 37
Miejsce pobytu: Warszawa
wiadomości: 2162



WWW

Ignoruj
« Odpowiedz #92 : 02-11-2015, 22:45:47 »

A był nie tak dawno Venom: Xen, KVM, VirtualBox,QEMU client dojechane wirtualnym napędem dyskietki.
Zapisane

Seek & eXplore!
_______________

http://i.imgur.com/ViNX1Eo.png
turystyk
Szef działu
Opinii: (1)
*****
Offline Offline

Miejsce pobytu: Tactical as fuck
wiadomości: 920


RED TEAM



« Odpowiedz #93 : 07-11-2015, 11:01:45 »

A był nie tak dawno Venom: Xen, KVM, VirtualBox,QEMU client dojechane wirtualnym napędem dyskietki.
Było, dlatego liczy się zachowanie vendorów. Z tym CVE-2015-3456  były niezłe jaja, ale to temat na oddzielną dyskusję.

https://protonmaildotcom.wordpress.com/
http://www.govcert.admin.ch/blog/14/armada-collective-blackmails-swiss-hosting-providers

"Tylko" 100Gbps, jest to w zasięgu dostawców usług, które minimalizują skutki DDoSa. PM nadal leży, bo ISP wyciął adresy - drugi atak skierowany był właśnie na dostawcę usług Protonmailowi. Nie zrobiła tego grupa pryszczatych nastolatków.
« Ostatnia zmiana: 07-11-2015, 11:14:24 wysłane przez turystyk » Zapisane

Boom stick!
KKK - Kelly Kettle Klan!

There is no possibility to patch human stupidity.
Było minęło, jak partia demokratów.
mgr_scout
Kierownik forum
Opinii: (8)
*
Offline Offline

Płeć: Mężczyzna
wiadomości: 7905


Tactical Hipster


WWW
« Odpowiedz #94 : 07-11-2015, 14:27:29 »

https://unseen.is/ - poczta i ich usługi warte uwagi?
Zapisane

SCOUT PRIDE!

Chcę być dezerterem, który ma szansę powodzenia
KNAKiŁ
KKK - Kelly Kettle Klan

CZUJ-DYM!
turystyk
Szef działu
Opinii: (1)
*****
Offline Offline

Miejsce pobytu: Tactical as fuck
wiadomości: 920


RED TEAM



« Odpowiedz #95 : 07-11-2015, 14:51:58 »

https://unseen.is/ - poczta i ich usługi warte uwagi?
Zależy do czego, jeśli poczta ma być prywatna, a nie publiczna jak Gmail - da radę. Nie zdobyli przychylnych głosów przez stosowanie "własnej krypto" (wymiana klucza przez NTRU jest ok). System nie jest open source, także zgłaszanie błędów jest utrudnione. Koniec końców ktoś im może zrobić niezapowiedziany test systemu i jeśli nie odrobili zadania domowego, to przejadą się wszyscy. Inicjatywa zacna. Bardziej prywatna niż nieszyfrowane rozwiązania. Innymi słowy lepsze to niż nic. Ja im jeszcze nie zaufałem.. kto wie może kiedyś. Popatrz jeszcze na tutanota.de (pisałem już) jeśli chodzi o maila. Wygodna apka, otwarty kod (github). Bardziej przekonuje mnie to rozwiązanie, serwery są w DE - to może jedyny minus, nie żadna Islandia czy inna Szwajcaria.
« Ostatnia zmiana: 07-11-2015, 15:10:41 wysłane przez turystyk » Zapisane

Boom stick!
KKK - Kelly Kettle Klan!

There is no possibility to patch human stupidity.
Było minęło, jak partia demokratów.
majaki
Opinii: (0)
Użytkownik
**
Offline Offline

wiadomości: 55




Ignoruj
« Odpowiedz #96 : 07-11-2015, 15:34:52 »

Zależy do czego, jeśli poczta ma być prywatna

lepiej protonmail gmail nie jest prywatny nawet bardzo nie jest.

najlepiej gpg+poczta

po prostu bez gpg nie warto w ogole myslec o prywatnosci. Inna sprawa, ze w razie czego szyfrowanie bedzie zakazane
Zapisane
turystyk
Szef działu
Opinii: (1)
*****
Offline Offline

Miejsce pobytu: Tactical as fuck
wiadomości: 920


RED TEAM



« Odpowiedz #97 : 07-11-2015, 15:44:32 »

lepiej protonmail gmail nie jest prywatny nawet bardzo nie jest.

najlepiej gpg+poczta

po prostu bez gpg nie warto w ogole myslec o prywatnosci. Inna sprawa, ze w razie czego szyfrowanie bedzie zakazane
A co napisałem? Gmail to poczta "publiczna". Czytaj ze zrozumieniem.
Chodziło o alternatywy PM, bo jak na razie jest niedostępny. Gdyby na cel poszedł unseen czy tutanota pewnie też zostały by wycięte przez providerów. Taka wolnościowa poczta to naprawdę ciężki kawałek chleba nie tylko od strony samej implementacji ale utrzymania. Takie usługi bywają uciążliwe dla każdego, kto bierze w nich udział. Przed DDoSem trudniej się bronić, zwłaszcza dobrze zorganizowanym.

Oczywiście, że nic nie zastąpi własnego szyfrowania (o czym w pierwszym poście), jednak o ile jest się zwykłym Internetowym GreyManem, starczy zaimplementowany dobrze system end2end encrypted jak te w/w przeze mnie. Inną sprawą jest zadbanie o bezpieczeństwo komputera, na którym dane są szyfrowane, po jego kompromitacji możesz mieć RSA+AES+cokolwiek sobie wymarzysz, nie pomoże.

NEWSY:
https://blog.mozilla.org/blog/2015/11/03/firefox-now-offers-a-more-private-browsing-experience/
dobrze się dzieje.
« Ostatnia zmiana: 07-11-2015, 21:52:56 wysłane przez turystyk » Zapisane

Boom stick!
KKK - Kelly Kettle Klan!

There is no possibility to patch human stupidity.
Było minęło, jak partia demokratów.
Kromex
Opinii: (0)
Nowy użytkownik
*
Offline Offline

wiadomości: 43




Ignoruj
« Odpowiedz #98 : 18-11-2015, 15:35:23 »

Pytanie do doświadczonych w tej materii Kolegów:

Czy VeraCrypt jest wystarczającym zabezpieczeniem dla pendriva zawierającego skany dokumentów, numery i hasła do kont bankowych itp.?
Czy to raczej głupi pomysł?
Zapisane
aniol
Opinii: (4)
Ekspert
*****
Offline Offline

Płeć: Mężczyzna
Wiek: 37
Miejsce pobytu: Warszawa
wiadomości: 2162



WWW

Ignoruj
« Odpowiedz #99 : 18-11-2015, 20:19:07 »

https://en.wikipedia.org/wiki/VeraCrypt  -  Security concerns

Skoreluj to z tym gdzie i jak chcesz używać pena (ewentualnie w czyich jeszcze rękach będzie) i oszacuj ryzyko.

Zapisane

Seek & eXplore!
_______________

http://i.imgur.com/ViNX1Eo.png
turystyk
Szef działu
Opinii: (1)
*****
Offline Offline

Miejsce pobytu: Tactical as fuck
wiadomości: 920


RED TEAM



« Odpowiedz #100 : 18-11-2015, 21:28:01 »

Inaczej:
Lepsze to niż większość implementowanych hardłerowo zabezpieczeń. O ile po prostu zgubisz flasha, to na dzień dzisiejszy pozostaje bruteforce/słownik (por. ostatni audyt VC). Jednak użycie skompromitowanego systemu, może spowodować poważne szkody, ale o tym już pisałem wcześniej.

Hasła do kont bankowych trzymałby w głowie. Jeśli musisz je zapisać to zawsze będą bezpieczniejsze na kartce w książce w domu, niż na jakimkolwiek nośniku cyfrowym. Nie należy jednak popadać w paranoję. Jeśli musisz je mieć, to tak. Veracrypt jest dobrym rozwiązaniem, jednym z najlepszych.
Cold Boot dotyczy Cię w najmniejszym stopniu.

Reasumując, Twoje dane zaszyfrowane VC są tak bezpieczne jak system/komputer na którym używasz. Atakujący, który wejdzie w posiadanie flasha bez żadnych dodatkowych informacji na dzień dzisiejszy nie jest w stanie (pomijając wariant najsłabszego ogniwa - człowieka i naszego /dev/random) odzyskać Twoich plików.

To tak prostym językiem.
Zapisane

Boom stick!
KKK - Kelly Kettle Klan!

There is no possibility to patch human stupidity.
Było minęło, jak partia demokratów.
cosinus
Opinii: (0)
Zaawansowany użytkownik
****
Offline Offline

wiadomości: 403




Ignoruj
« Odpowiedz #101 : 18-11-2015, 21:37:24 »


Hasła do kont bankowych trzymałby w głowie. Jeśli musisz je zapisać to zawsze będą bezpieczniejsze na kartce w książce w domu, niż na jakimkolwiek nośniku cyfrowym.

Zgadzam się, że poza sferą informatyczną najlepiej. W głowię się może nie udać, 2 banki, kilka kont ... podaj ... trzecią ... cyfrę ... telekodu

A np jeden z banków jest tak ortodoksyjny, że w ramach odnowienia PIN-u można poprosić o wylosowanie nowego - ale nie o ustawienie po swojemu (przecież to niebezpieczne, można ustawić sobie "łatwą" liczbę itd)
To jest zgodne z teorią, ale niezgodne z życiem, np nakłania do notowania. I znów działa nieoficjalna zasada, że zbyt wysokie zabezpieczenie jest kiepskim zabezpieczeniem.

Zapytam: nie masz ołówka, nic, tylko  telefon, jak byś utrwalił właśnie udosteponiny Ci podobny kod. Mam swoją odpowiedź, ale ciekaw jestem Twojej.
Zapisane
aniol
Opinii: (4)
Ekspert
*****
Offline Offline

Płeć: Mężczyzna
Wiek: 37
Miejsce pobytu: Warszawa
wiadomości: 2162



WWW

Ignoruj
« Odpowiedz #102 : 18-11-2015, 21:44:15 »

https://en.wikipedia.org/wiki/VeraCrypt  -  Security concerns

Skoreluj to z tym gdzie i jak chcesz używać pena (ewentualnie w czyich jeszcze rękach będzie) i oszacuj ryzyko.




Będzie tak bezpieczny jak twe przyrodzenie - zależy jak ufasz miejscu, w które wsadzasz albo temu, kto weźmie go do ręki.
Zapisane

Seek & eXplore!
_______________

http://i.imgur.com/ViNX1Eo.png
turystyk
Szef działu
Opinii: (1)
*****
Offline Offline

Miejsce pobytu: Tactical as fuck
wiadomości: 920


RED TEAM



« Odpowiedz #103 : 18-11-2015, 21:54:10 »

Nie mam telekodów, ale mogę myśleć o tym samym banku co Ty  Z politowaniem
Moja odpowiedź na Twoje pytanie, zapewne Cię nie usatysfakcjonuje. Po pierwsze, mam dobrą pamięć do liczb. Moje lepsze 0,7 jak mi podawała swój numer, myślała że ją zleję   bo nie notowałem. Większość kodów, haseł pamiętam. Jeśli jednak sytuacja wymagałaby zapisania jakiegoś kodu i miałbym tylko telefon, cóż odpowiedzi szukałbym pewnie w steganografii i nic nie znaczących wiadomościach. Reszty nie zdradzam, bo warto mieć coś w rękawie   (opsec!)

P.S.
Będzie ktoś na ciscoSEC? Możnaby potem taktyczne piwko strzelić pogadać o itsec, szpeju, posruvivalić się 
« Ostatnia zmiana: 18-11-2015, 21:59:26 wysłane przez turystyk » Zapisane

Boom stick!
KKK - Kelly Kettle Klan!

There is no possibility to patch human stupidity.
Było minęło, jak partia demokratów.
Kromex
Opinii: (0)
Nowy użytkownik
*
Offline Offline

wiadomości: 43




Ignoruj
« Odpowiedz #104 : 18-11-2015, 22:28:46 »

Dzięki za pomoc.

Nośnik ma być dla Żony, trochę jak wiadomość w butelce... na wypadek, gdybym "zatonął" Zastanawiałem się co by było, gdyby go jakimś cudem zgubiła.
Zapisane
Strony: Pierwsza « 1 ... 5 6 7 8 9 ... 12 » Ostatnia +   Do góry
  Drukuj  

 
Skocz do:  

Podobne tematy
Temat Zaczęty przez Odpowiedzi Wyświetleń Ostatnia wiadomość
BushcraftPL.com - aktualności & info BushcraftPL.com « 1 2 » Marshall 18 25754 Ostatnia wiadomość 24-12-2015, 13:05:41
wysłane przez Marshall