Pages:
Author

Topic: Ochrona przed złośliwym oprogramowaniem i wirusami. (Read 486 times)

hero member
Activity: 1246
Merit: 708
 
...dostałem takiego maila, w którego treści było hasło, które używałem swego czasu w kilku serwisach...na szczęście po dokładnej analizie  doszedłem do tego, że to fake...
użyłeś hasła w stylu 12345678a,


Tak swego czasu używałem haseł typu alamakota - niby próbowałem coś tam zmienić i zamiast alamakota było Al4mak0tA, ale wystarczy wziąć pierwszy lepszy artykuł o hasłach z brzegu by się przekonać że takie zmiany praktycznie w ogóle nie zwiększają  trudności w złamaniu takiego hasła.

Aczkolwiek najprawdopodobniej   to moje hasło zostało wykradzione z bazy jakiegoś zhakowanego serwisu.


Tutaj przy okazji taka uwaga - lepiej nie zakładać kont na stronach sklepów itd - bo wtedy lądują tam nasze dane, a jeśli ktoś często robi zakupy w internecie to powstaje nam olbrzymia ilość potencjalnych wektorów ataku - co prawda nie dotyczy to haseł - bo już chyba wszyscy tutaj wiemy żeby używać menadżerów haseł, dzięki którym mamy na każdym koncie innego hasło, ale już nasze dane osobowe i kontaktowe zostają wtedy łakomym kąskiem dla ludzi z nieczystymi intencjami..
Już na prawdę lepiej podarować sobie te 5% zniżki za 100zakupy a nie ryzykować.
legendary
Activity: 2744
Merit: 1708
First 100% Liquid Stablecoin Backed by Gold
...dostałem takiego maila, w którego treści było hasło, które używałem swego czasu w kilku serwisach...na szczęście po dokładnej analizie  doszedłem do tego, że to fake...

Proszą wyjaśnij bo nie rozumiem. Dostałeś maila, w którym było hasło, do Twoich kont, na kilku serwisach. Czyli co było fake?

Przecież, to oczywiste, że ktoś wie jakim posługujesz się hasłem i ma Twój email, bo zawzwyczaj, to jest username.

To faktycznie nie pokojące, no chyb, że użyłeś hasła w stylu 12345678a, to nic dziwnego, że do Ciebie napisali  Wink.
hero member
Activity: 1246
Merit: 708
O bezpieczeństwie ciąg dalszy - dzisiaj trafiłem na taki artykuł:
http://next.gazeta.pl/next/7,151243,24794644,wiem-co-ogladasz-na-swoim-komputerze-i-mam-nagranie-kolejna.html#a=90&c=145&s=BoxBizMT
Niedawno sam miałem podobny przypadek - dostałem takiego maila, w którego treści było hasło, które używałem swego czasu w kilku serwisach - no przyznam szczerze, że kosztowało mnie to kilka godzin nerwów - nie fakt, że ktoś miałby ujawnić jakieś moje "niecne czyny" - ale że zdobył dostęp do mojej poczty - bo jednak poczta teraz to prawie jak dokument tożsamości Wink  na szczęście po dokładnej analizie  doszedłem do tego, że to fake.

Jeszcze w kwestii haseł, to w jednym z komentarzy był link do  ciekawego komiksu fajnie pokazującego zasady tworzenia bezpiecznych i co najważniejsze życiowych haseł:

https://xkcd.com/936/
legendary
Activity: 2744
Merit: 1708
First 100% Liquid Stablecoin Backed by Gold
Dopiero co się zastanawiałem nad tym jak bezpieczne jest przechowywanie haseł w przeglądarkach jak Google czy firefox.

Zastanawia mnie też, jak bezpieczne tak naprawdę jest korzystanie z zapisywania haseł w przeglądarkach?
Ja powiem szczerze używam tej funkcji, ale tylko dla takich mniej ważnych kont, na których mi nie zależy i nie będzie problemu podczas włamania lub utraty hasła.

Czytałem o tym różne artkuły i oczywiście Google jak i Firefox zapewniają, że system jest szczelny i jeszcze nigdy te hasła nie wypłyneły. Powiem szczerze, że to jest kusząca funkcja, sczególnie razem z funkcją sugerowanych haseł, które są naprawdę trudne i fajnie gdyby można było je od razu zapisać, bez żadnych obaw...

Dzisiaj czytam sobie wiadomości krypto, a tu widzę takiego newsa: Google Has Been ‘Accidentally’ Storing Passwords in Plaintext Since 2005

No to chyba mam odpowiedź na moje pytanie Wink.

Dla ciekawych cytat z atykułu:

Quote
Google zazwyczaj przechowuje swoje hasła w kryptograficznie zakodowanym haszu. Jednak z powodu błędu funkcja odzyskiwania haseł G Suite dla administratorów w jakiś sposób pozwoliła na przechowywanie haseł w panelu sterowania administratora. Od niedawna Google wyłącza funkcję powodującą zagrożenie bezpieczeństwa. Jednak przez długi czas hasła były dostępne zarówno dla autoryzowanego personelu Google, jak i złośliwych hakerów.


https://beincrypto.com/google-has-been-accidentally-storing-passwords-in-plaintext-since-2005/


hero member
Activity: 1246
Merit: 708
Tak jak to napisałem funkcja (?) U2F/Fido jest również  wbudowana w Ledgery - wiec warto może  połączyć "przyjemne z pozytecznym" i zakupić właśnie to urządzenie przy okazji mieć też bezpieczne miejsce do przechowywania krypto?
legendary
Activity: 3472
Merit: 1722
Trochę sobie poczytałem i ten Yubikey, to naprawdę fajna sprawa i poważnie myślę, żeby sobie jeden sprawić i dokładnie sprawdzić jak, to tak naprawdę działa.
Jeżeli ktoś z was już miał, to prosiłbym o opinie na temat tego prodktu.
Zastanawiam się czy Yubikey musi być zintegrowany z usługą, żeby można go było używać, czy działa on także jak menedżer haseł?

Yubikey wspiera kilka menedżerów haseł m.in. lastpass i keepass, np. https://keepass.info/help/kb/yubikey.html

Przy okazji ciekawa strona z listą stron, które wspierają uwierzytelnianie 2FA wg standardów U2F/FIDO: https://www.dongleauth.info/
legendary
Activity: 2744
Merit: 1708
First 100% Liquid Stablecoin Backed by Gold
...klucze prywatne są przechowywane w urządzeniu i nie ma do nich żadnego dostępu z zewnątrz (z wykorzystaniem tych kluczy są po prostu generowane podpisy - które służą do potwierdzenia transakcji, czy raczej autoryzacji w tym przypadku), więc jedyne co może zrobić haker to jednorazowo przechwycić pojedynczą "akcje"...

Trochę sobie poczytałem i ten Yubikey, to naprawdę fajna sprawa i poważnie myślę, żeby sobie jeden sprawić i dokładnie sprawdzić jak, to tak naprawdę działa.

Jeżeli ktoś z was już miał, to prosiłbym o opinie na temat tego prodktu.

Zastanawiam się czy Yubikey musi być zintegrowany z usługą, żeby można go było używać, czy działa on także jak menedżer haseł?
hero member
Activity: 1246
Merit: 708
Jest jeszcze Fido U2F wbudowane w Ledger'y https://support.ledger.com/hc/en-us/articles/115005198545-FIDO-U2F LEDGER NANO S i LEDGER Blue dokładnie
W sumie jest też pośrednie rozwiązanie w postaci menadżera haseł



...na tyle bezpieczne, na ile bezpieczny jest Twój komputer, chyba że korzystasz z czegoś w stylu yubikey...

Trochę poczytałem o Yubikey i muszę przyznać, że jest to ciekawe rozwiązanie, ale jak komputer będzie zainfekowany, to chyba i tak jest szansa, że zdobędzie dostęp do klucza, bo wpina się go przez usb. Próbowałem znaleźć więcej informacji na ich stronie, ale są tam raczej reklamy, a nie ściśle technicze informacje.

Cena to jakieś 50 dolarów czyli całkiem przystępnie, ale jestem ciekaw czy nie ma dalszych opłat, na przykład za korzystanie z serwisu co miesiąc?

Jeśli dobrze rozumiem to nie ma takiego ryzyka, ponieważ klucze prywatne są przechowywane w urządzeniu i nie ma do nich żadnego dostępu z zewnątrz (z wykorzystaniem tych kluczy są po prostu generowane podpisy - które służą do potwierdzenia transakcji, czy raczej autoryzacji w tym przypadku), więc jedyne co może zrobić haker to jednorazowo przechwycić pojedynczą "akcje" .
...większą entropię i przez to wiesze bezpieczeństwo zapewnia hasło złożone z kilku prostych członów...

Mógłbyś dokładniej wyjaśnić o co chodzi?

Z tego co wiem (nie zawsze), ale zazwyczaj powinny, to być ciągi różnych znaków i właśnie do tej pory chodziło, żeby było ich bardzo dużo i jak najróżniejsze.
To wydaje się być oczywiste i jedyna kwestia to problem z zapamiętaniem takiego hasła i tu takie rozwiązanie, o którym pisze @Adamvp mogłoby się sprawdzić, bo napewno lżej zapamiętać jakiś zlepek wyrazów, niż losowe znaki i to w dużych ilościach.

Powiem, że słyszałem właśnie zupełnie odwrotnie opinie, żeby nie używać kombinacji wyrazów, na przykład: imię nazwisko, data urodzenia lub numer kodu i ulicy, bo mogą być możliwe do odgadnięcia, przy wykorzystaniu socjotechniki. Dlatego chciałbym, żebyś rozwinął trochę swoją myśl i podał jakieś przykłady, jeżeli miał bym dodać do listy i żeby udowodnić tą sugestię.
Jakieś źródła, też by się przydały, jak masz?

No źródło było w mojej głowie (w sumie nauczka na przyszłość zapisywać linki do ciekawych arytkułow, bo nigdy nie wiadomo kiedy się przydadzą) ale jakimś cudem udało mi się znaleźć o tym co miałem na myśli (niestety po angielsku) : https://www.fpainc.com/blog/password-guidelines-from-nist
legendary
Activity: 3472
Merit: 1722
...na tyle bezpieczne, na ile bezpieczny jest Twój komputer, chyba że korzystasz z czegoś w stylu yubikey...

Trochę poczytałem o Yubikey i muszę przyznać, że jest to ciekawe rozwiązanie, ale jak komputer będzie zainfekowany, to chyba i tak jest szansa, że zdobędzie dostęp do klucza, bo wpina się go przez usb. Próbowałem znaleźć więcej informacji na ich stronie, ale są tam raczej reklamy, a nie ściśle technicze informacje.

Cena to jakieś 50 dolarów czyli całkiem przystępnie, ale jestem ciekaw czy nie ma dalszych opłat, na przykład za korzystanie z serwisu co miesiąc?

https://support.yubico.com/support/solutions/articles/15000016059-can-i-use-the-yubikey-on-untrusted-computers-

Na Mt.Gox kiedyś można było logować się za pomocą yubikey. Teraz chyba tylko BitMEX je wspiera.
legendary
Activity: 2744
Merit: 1708
First 100% Liquid Stablecoin Backed by Gold
...na tyle bezpieczne, na ile bezpieczny jest Twój komputer, chyba że korzystasz z czegoś w stylu yubikey...

Trochę poczytałem o Yubikey i muszę przyznać, że jest to ciekawe rozwiązanie, ale jak komputer będzie zainfekowany, to chyba i tak jest szansa, że zdobędzie dostęp do klucza, bo wpina się go przez usb. Próbowałem znaleźć więcej informacji na ich stronie, ale są tam raczej reklamy, a nie ściśle technicze informacje.

Cena to jakieś 50 dolarów czyli całkiem przystępnie, ale jestem ciekaw czy nie ma dalszych opłat, na przykład za korzystanie z serwisu co miesiąc?
legendary
Activity: 3472
Merit: 1722
Są na tyle bezpieczne, na ile bezpieczny jest Twój komputer, chyba że korzystasz z czegoś w stylu yubikey albo trezor do zarządzania hasłami.
legendary
Activity: 2744
Merit: 1708
First 100% Liquid Stablecoin Backed by Gold
Zastanawia mnie też, jak bezpieczne tak naprawdę jest korzystanie z zapisywania haseł w przeglądarkach?
Ja powiem szczerze używam tej funkcji, ale tylko dla takich mniej ważnych kont, na których mi nie zależy i nie będzie problemu podczas włamania lub utraty hasła.

Czytałem o tym różne artkuły i oczywiście Google jak i Firefox zapewniają, że system jest szczelny i jeszcze nigdy te hasła nie wypłyneły. Powiem szczerze, że to jest kusząca funkcja, sczególnie razem z funkcją sugerowanych haseł, które są naprawdę trudne i fajnie gdyby można było je od razu zapisać, bez żadnych obaw.

To samo dotyczy programów do zapamiętywania haseł. Na ile są one bezpieczne?
Chyba są, bo jeszcze nic nie słyszałem o żadnym problemie z hakerami w serwisie tego typu. Pomimo wszystko, nadal ich nie używam i aż mnie czasem łeb boli od tych wszystkich haseł, które muszę pamiętać.

Mam oczywiście taki system według, którego ustalam i zapamiętuje, te wszystkie ważne hasła, ale czasem zdarza się czarna dziura i trzeba się namęczyć podczas odzyskiwania.
Dodatkowo tracąc kupę czasu, którego jak zawsze w takich przypadkach najbardziej brakuje.
legendary
Activity: 3472
Merit: 1722
Jak ciągi wyrazów są losowo wybrane (a nie na zasadzie 'wezmę sobie po pierwszym wyrazie z pierwszych kilku stron mojej ulubionej książki'), to mogą być. Problem w tym, że ludzie mają tendencję do wybierania haseł, które łatwiej im zapamiętać.
legendary
Activity: 2744
Merit: 1708
First 100% Liquid Stablecoin Backed by Gold
...większą entropię i przez to wiesze bezpieczeństwo zapewnia hasło złożone z kilku prostych członów...

Mógłbyś dokładniej wyjaśnić o co chodzi?

Z tego co wiem (nie zawsze), ale zazwyczaj powinny, to być ciągi różnych znaków i właśnie do tej pory chodziło, żeby było ich bardzo dużo i jak najróżniejsze.
To wydaje się być oczywiste i jedyna kwestia to problem z zapamiętaniem takiego hasła i tu takie rozwiązanie, o którym pisze @Adamvp mogłoby się sprawdzić, bo napewno lżej zapamiętać jakiś zlepek wyrazów, niż losowe znaki i to w dużych ilościach.

Powiem, że słyszałem właśnie zupełnie odwrotnie opinie, żeby nie używać kombinacji wyrazów, na przykład: imię nazwisko, data urodzenia lub numer kodu i ulicy, bo mogą być możliwe do odgadnięcia, przy wykorzystaniu socjotechniki. Dlatego chciałbym, żebyś rozwinął trochę swoją myśl i podał jakieś przykłady, jeżeli miał bym dodać do listy i żeby udowodnić tą sugestię.
Jakieś źródła, też by się przydały, jak masz?
hero member
Activity: 1246
Merit: 708
to ja jeszcze pozwolę sobie nawiązać do kwestii haseł:
 bo swego czasu się przyjęło, że silne hasło musi mieć mnóstwo rożnej wielkości liter, cyfr, przede wszystkim znaków specjalnych, podczas gdy okazuje się, że dużo większą entropię i przez to wiesze bezpieczeństwo zapewnia hasło złożone z kilku prostych członów.
No i drugi aspekt tej sprawy - to silnie zalecane byłoby używanie menadżerów haseł - i w sumie z chęcią przeczytałbym tutorial na ten temat ;-) z chęcią się dowiem co można jeszcze ulepszyć ;-)
legendary
Activity: 2744
Merit: 1708
First 100% Liquid Stablecoin Backed by Gold
...na allegro i5 2500 chodzi po 120zł.

Zgadza się samo i5,i7 czy coś podobnego nie kosztuje dużo. Tylko ja jak myślę o i7, to zaraz mam przed oczami taki mały rig z GeForce RTX 2080 albo jakimś innym Radeon RX 580  Wink.
legendary
Activity: 3472
Merit: 1722
Widzę, że trzeba mieć juz solidną maszynę żeby z tego skorzystać. Co najmniej coś na poziomie i5 lub i7.

VT-x + VT-d już E8400 w 2008 roku miał, choć płyty główne wspierające VT-d było trudniej znaleźć. Samo minimalne i5 czy i7 wspierające VT-x i IOMMU to też nie jest nie wiadomo jaki koszt, na allegro i5 2500 chodzi po 120zł.
legendary
Activity: 2744
Merit: 1708
First 100% Liquid Stablecoin Backed by Gold
...Ustalając hasło WIFI również postarajmy się aby było ono wyjątkowo silne...
Bardzo dziękuję, kolejna dobra uwaga, która wpasowałem do listy. Chętnie bym Cię nagrodził za tą sugestię ale jestem pusty jak meritowy bęben a juz jednego obiecałem w innym wątku.

...Jest taki ciekawy projekt rozwijany od kilku lat o nazwie QubesOS...
Bardzo ciekawy projekt, dzięki za linki. Pierwszy raz o tym słyszę i zachęcam wszystkich do lektury. Nie dodam tego do listy ale jest w komentarzach i każdy zainteresowany będzie mógł skorzystać. Widzę, że trzeba mieć juz solidną maszynę żeby z tego skorzystać. Co najmniej coś na poziomie i5 lub i7.
hero member
Activity: 714
Merit: 611

Przypomniała mi się jeszcze jedna dobra praktyka (szczególnie w starszych systemach) - wyłączenie automatycznego odtwarzania plików autorun.inf na wymiennych nośnikach (pendrive czy CD/DVD)

Myślę, że mówiąc o bezpieczeństwie komputera należy również wspomnieć w kilku słowach o bezpieczeństwie sieci. Aktualnie prawdopodobnie 90% użytkowników korzysta z sieci WIFI - warto więc przypomnieć żeby nigdy nie pozostawiać sieci niezabezpieczonej!!! Ustalając hasło WIFI również postarajmy się aby było ono wyjątkowo silne - w przypadku sieci używanie trudnego i długiego hasła nie jest problemem gdyż wprowadzamy je tylko raz a nie przy każdym logowaniu - warto więc zadbać o bezpieczeństwo. Warto też zmienić hasło administratora rutera gdyż para "admin" "admin"  (or "admin" "12345") występują chyba w 90% ruterów.

Pamiętajmy że jeżeli ktoś włamie się do naszej sieci on może również włamać się do naszych komputerów, plików, rozprzestrzenić virusa, monitorować ruch w naszej sieci, podsłuchiwać loginy i hasła, które wprowadzamy a także rozsyłać spam czy wykorzystywać naszą sieć (adres ip) do innych nielegalnych działań (jak chociażby udostępnianie/przesyłanie dziecięcej pornografii )

legendary
Activity: 3472
Merit: 1722
Jeżeli macie jakieś sugestie co do ochrony przed złośliwym oprogramowaniem to bardzo proszę o wzięcie udziału w dyskusji.

Jest taki ciekawy projekt rozwijany od kilku lat o nazwie QubesOS:

https://www.qubes-os.org/video-tours/
https://www.qubes-os.org/intro/#how-does-qubes-os-provide-security
https://www.qubes-os.org/doc/disposablevm/

W skrócie jest to system operacyjny stawiający na bezpieczeństwo i mocno ułatwiający kompartmentalizację, wygodnie można np. otworzyć podejrzany plik w lekkiej jednorazowej maszynie wirtualnej.
Pages:
Jump to: