Параноя? Едва ли...
Параноя? Едва ли...
Една дискусия, която чета в момента ми подсказва, че може би някой тук също може да има полза от това, а именно - никога не вярвайте на каквито и да са публични терминали. Аз лично бих квалифицирал като публични всички терминали, до които имат административен достъп и други лица освен вас, но това си е моя професионална деформация. Та, на въпроса, всеки публичен терминал трябва да се разглежда като устройство за събиране на всевъзможни лични данни - от паролите ви за пощата с киберсекса, до банковите ви сертификати, пароли, сметки и прочее. Всичко, което напишете, копирате, кликнете евентуално се записва и понякога/често се може да се използва срещу вас. Ако не държите на сигурността, неприкосновеността и финансите си не обръщайте внимание на тези плещения. Но ако имате и най-малките сенки на съмнение относно публичната си дейност в Интернет - направете си live cd/usb с ipsec тунели с предварително дефинирани пароли и сертификати с познати хостове, след достигането до които да проверите нужната ви информация събирана на тях по предварително зададен график. Така ще сте сравнително защитени срещу софтуерни и хардуерни keyloggers. Още по-добър вариант е да използвате само устройства контролирани от вас като телефони, пда-та и ноутбуци. А най-добре е когато сте във ваканция, при приятели, на екскурзия и прочее да не си четете пощата и да не правите проверка на сметките си. Просто се изключете от мрежата и се концентрирайте върху преживяванията в „реалния“ свят.
Re: Параноя? Едва ли...
А ползването на електронен поТпис не ти ли помага малце поне?Remmivs написа:А най-добре е когато сте във ваканция, при приятели, на екскурзия и прочее да не си четете пощата и да не правите проверка на сметките си. Просто се изключете от мрежата и се концентрирайте върху преживяванията в „реалния“ свят.
И я раздуй по-подробно това за предварително готовите цедета и прочее...
На чужда машина никак даже.
Не ви ли бях пускал това:
СПЕЦИАЛЕН ГОСТ-ЛЕКТОР - МАРКО РИКА, мениджър на швейцарската компания “Илион секюрити”, доказан експерт в сферата на “бялото хакерство” по темата: Информационен риск и професионално хакерство - митове и реалности. Демонстрация на penetration testing.
http://idg.bg/events/event/2007/0921170 ... 0Ricca.pdf
Марко Рика
Човекът много добре го демонстрира. Това поТписи, това сешъни, това бисквитки - пасти да ЯДът... Косите ти настръхват на най-необичайни места. После си говорих с него. Питах го за онлайн банДирането... Приказка е.
PS
За предварително готовите CD-та - ubuntu с ipsec това ти стига на теб.
Не ви ли бях пускал това:
СПЕЦИАЛЕН ГОСТ-ЛЕКТОР - МАРКО РИКА, мениджър на швейцарската компания “Илион секюрити”, доказан експерт в сферата на “бялото хакерство” по темата: Информационен риск и професионално хакерство - митове и реалности. Демонстрация на penetration testing.
http://idg.bg/events/event/2007/0921170 ... 0Ricca.pdf
Марко Рика
Човекът много добре го демонстрира. Това поТписи, това сешъни, това бисквитки - пасти да ЯДът... Косите ти настръхват на най-необичайни места. После си говорих с него. Питах го за онлайн банДирането... Приказка е.
PS
За предварително готовите CD-та - ubuntu с ipsec това ти стига на теб.
Чай сяRemmivs написа:На чужда машина никак даже.
Не ви ли бях пускал това:
СПЕЦИАЛЕН ГОСТ-ЛЕКТОР - МАРКО РИКА, мениджър на швейцарската компания “Илион секюрити”, доказан експерт в сферата на “бялото хакерство” по темата: Информационен риск и професионално хакерство - митове и реалности. Демонстрация на penetration testing.
http://idg.bg/events/event/2007/0921170 ... 0Ricca.pdf
Марко Рика
Човекът много добре го демонстрира. Това поТписи, това сешъни, това бисквитки - пасти да ЯДът... Косите ти настръхват на най-необичайни места. После си говорих с него. Питах го за онлайн банДирането... Приказка е.
PS
За предварително готовите CD-та - ubuntu с ipsec това ти стига на теб.
Нищо сигурно няма на този свят
Обаче
Нали затуй точно поТписите са на карти? Извън ПеЦето... не се импортират, не се съдържат и т.н. Махаш картата и сертификата го няма. Дори да са прихванали и декриптирали комуникацията не би трябвало да е възможно да се възстанови сертификата. Или?
С кво ще ми помогне убунту + ипсекС? Искам да мога да банкирам, да си чета пощата и да ползвам през ВПН офиса си. Как ще стане с туйБунту? Като имаш изнапредвид, че няма да ти позволят да сложиш твое цеде и да бутнеш от него... иначе нещата са (почти) ясни... Та?
Не им трябва да ти декриптират сертификати и тутикванти. Влизаш през пробита машина. Отваряш да си погледнеш салдото. С външен подпис да речем. Всичко е ток и жици. Цъкъш още малко и излизаш. А през това време някой друг, който е заложил тази брадва и чака рибки, те прехваща и прави транзакции с твоите криденшъли. И като влезеш следващия път салдото ти може да е напълно различно. Примерно.Gaspode написа:Чай ся
Нищо сигурно няма на този свят
Обаче
Нали затуй точно поТписите са на карти? Извън ПеЦето... не се импортират, не се съдържат и т.н. Махаш картата и сертификата го няма. Дори да са прихванали и декриптирали комуникацията не би трябвало да е възможно да се възстанови сертификата. Или?
С кво ще ми помогне убунту + ипсекС? Искам да мога да банкирам, да си чета пощата и да ползвам през ВПН офиса си. Как ще стане с туйБунту? Като имаш изнапредвид, че няма да ти позволят да сложиш твое цеде и да бутнеш от него... иначе нещата са (почти) ясни... Та?
Колкото до цедета и тунелите - говорим си за това да имаш чиста ОС, да заредиш с нея и с тунели и предварително зададени секрети записани на цедето да се кичнеш на някой твой сигурен сървър нейде си. За да елиминираш софтуерните кейлогъри и прочее свинщина (цеде/усебе) както и хардуерните такива (не пишеш нищо преди да се кичнеш на твоята машина). Капиш?
PS
Иначе си прав май. Едва ли някой в Интернет кафе etc ще ти даде да се гавриш така с машините там. Но пък идеята ми беше да ви окна за рисковете. Ако толкова ти трябва ВЕПЕНЕ и прочее - носиш си твоя машина с теб и готово. Ма то май аз това го казах още в първия пост.
Начи ти можеш ли да си заредиш чиста ос нещата стават доста по-прости и ясни. Верно, има хардуерни логери, ама това се преживява някак...Remmivs написа: Не им трябва да ти декриптират сертификати и тутикванти. Влизаш през пробита машина. Отваряш да си погледнеш салдото. С външен подпис да речем. Всичко е ток и жици. Цъкъш още малко и излизаш. А през това време някой друг, който е заложил тази брадва и чака рибки, те прехваща и прави транзакции с твоите криденшъли. И като влезеш следващия път салдото ти може да е напълно различно. Примерно.
Колкото до цедета и тунелите - говорим си за това да имаш чиста ОС, да заредиш с нея и с тунели и предварително зададени секрети записани на цедето да се кичнеш на някой твой сигурен сървър нейде си. За да елиминираш софтуерните кейлогъри и прочее свинщина (цеде/усебе) както и хардуерните такива (не пишеш нищо преди да се кичнеш на твоята машина). Капиш?
Колкото до тва с банкирането - там нещата са по-малко вероятни. Щото някой трябва да стои и да следи машините в реално време... и ако се логнеш къмто банката да те прихване, да прилъже, че твоята сесия продължава и прочее... Бтв, при всяка операция се иска подпис, демек четене от външното устройство... та дори и да ти хване сесията като извадиш сертификата не може да оторизира операция...
Не са чак толкова страшни нещата. Но биха могли да бъдат. И повече Фнимание не е излишно...