Re: Bezpieczne logowanie
: 12 paź 2020, 12:05
Tomek pisze: ↑11 paź 2020, 21:03Wojtas, dzięki za rzeczowa i wyczerpującą odpowiedz. MitM jest w takim razie dla mnie jasne i wyciągam taki wniosek, ze przede wszystkim trzeba chronić dostęp do swojego komputera, bo bez podmiany certyfikatów u mnie w systemie nikt tu niczego nie zdziała. Wierze w Falcona i swój zdrowy rozsądek, wiec tu jestem spokojny :)
Moje 3gr:
Z tym VPN nie do końca jest to cała prawdą, bo mogę zrobić MitM bez żadnych certyfikatów wystarczy mi tylko, że przechwycę ruch DNS ;) Generalnie VPN prócz prywatności i czasami względnej anonimowości dalej właśnie dobre zabezpieczenie przed MitM, bo klient VPN jest skonfigurowany na konkretne adres IP a nie nazwy domenowe i tutaj już ciężko jest oszukać i cokolwiek zdziałać. Jak ktoś chce podnieść poprzeczkę to VPN > ToR > punkt docelowy :)
Ogólnie nie ma co popadać w paranoję, bo to jest identyczna sytuacja jak z szumem miedialnym pod wpływem którego chcemy podejmować jakieś decyzje. Jeżeli mamy dobrze zabezpieczony telefon, na którym nie instalujemy czegoś non stop i nie klikamy w podejrzane linki albo SMSy od kuriera albo wiadomości od pięknych Pań na insta/whatsup to naprawdę jest taki telefon ciężko ugryź (już pomijam że można mieć osobny telefon do tego, nie podpięty do internetu). Wojtas roztacza wizję hakowania telefonu ale popatrzmy na ceny luk tak zwanych 0 day* (czyli o których nie wie jeszcze producent) albo na konkursy hakowania sprzętu czy oprogramowania i jakie są nagrody. Na ceny w bug bounty**. Popatrzcie na kilka spraw jak FBI chciało się dostać na iPhone zabezpieczony hasłem a Apple nie wyrażało chęci współpracy i pamiętam w jednym przypadku znalazła się jakaś firma do łamania telefonu ale ile to kosztowało to podejrzewam, że poszło w miliony.
Jak dla mnie dużo przestępców woli właśnie hurtowo po kilkaset zł na blika x 100 albo x 1000 klientów niż jeden dostęp do konta w IB. Oczywiście upraszczam, bo wiadomo, że wszystko się przyda ale czytałem opracowania, że szybkość i łatwość wyciągana pieniędzy jest kluczowa a potem reszta.
Pomijam kompletnie ataki personalizowane, no bo jak ktoś dostał zlecenie to dłubie aż wydłubie ;)
* na Apple jakiś czas temu kosztowało 1 mln $ i to według jakiś nie do końca oficjalnych przecieków teraz pewnie więcej
** niektóre firmy jak Google etc. to wypłacają już rocznie po kilka mln $ z takiego programu