Bezpieczne logowanie
Re: Bezpieczne logowanie
Face ID chyba jest nie do złamania jako zabezpieczenie , wiec tu nie ma strachu. Trzeba zapytać w IB jaka jest procedura resetu tego zabezpieczenia bo tu może być problem .
Re: Bezpieczne logowanie
Ja uzywam odcisku, ale z twarza to ostroznie bo tylko czesc nowych modeli Apple skanuje twarz w 3D. W przeciwnym wypadku, mozna telefon odblokowac zdjeciem.
Re: Bezpieczne logowanie
Nie uchroni. VPN służy tylko do tego, żeby Twój ruch był przesyłany przez serwer pośredniczący (proxy), a dopiero później na docelową stronę. Obrazowo w skrócie:
Bez VPNa
Twój MAC -> serwer DNS -> IP onetu -> onet.pl
z VPN
Twój MAC -> VPN -> serwer DNS -> IP onetu -> onet.pl
Tym samym VPN zapewnia Ci tylko ochronę przed tym, że Twój dostawca internetu nie wie, jakie strony przeglądasz. Widzi tylko połączenia do jednego serwera VPN. Inną kwestią jest to, że dużo ofert VPNów chwali się tym, że nie przetrzymuje logów, ale pewności nie masz, dopóki coś nie wycieknie. Co za tym idzie, jakby jakieś służby chciały się dowiedzieć jakie porno lubisz, to będą mieli utrudnione zadanie, ale zapewne nie niemożliwe. Jakimś rozwiązaniem jest postawienie własnego serwera VPN, no ale są tutaj plusy i minusy, długo by się rozpisywać.
Także kwestia oszustw typu phishing i man in-the-middle attack o których pisał Wojtas, to są ataki na innym poziomie. W tym przypadku chodzi o szyfrowanie SSL, no i zwykłe podszywanie się. Ogólnie w atakach internetowych najsłabszym ogniwem jest człowiek. Także jest dużo większa szansa, że po prostu się zagapisz i klikniesz nie tam gdzie trzeba, niż ktoś złamie Twoje hasło (jeśli jest przyzwoite).
Re: Bezpieczne logowanie
Wujt bo ja to nie mam pojęcia o czym piszesz ale z tego co mówicie to jeżeli nie kliknę w jakiś link to mogę czuć się bezpiecznie z podwójną weryfikacją ? Chociaż jak to mówią pewne jest tylko smierć i podatki :)
Re: Bezpieczne logowanie
lepiej nie klikać w "podejrzane" linki Hubert :D szczególnie na Windowsie :) natomiast jeśli masz podwójną weryfikację, to na pewno jest bezpieczniej (niż bez :D)
Re: Bezpieczne logowanie
Ja pracuje na Mac OS i telefon i komp bo tu jakoś bezpieczniej :) Generalnie nic nie klikam bo już się nauczyłem . Musze tylko zobaczyć jak wyglada reset hasła w IB bo jeszcze nie przechodziłem tej procedury . Ktoś to przerabiał co trzeba podać ? Czy tylko e-mail wystarczy ? Bo jak tak to lekka kicha .
Re: Bezpieczne logowanie
Hubert pisze: ↑11 paź 2020, 20:37Ja pracuje na Mac OS i telefon i komp bo tu jakoś bezpieczniej :) Generalnie nic nie klikam bo już się nauczyłem . Musze tylko zobaczyć jak wyglada reset hasła w IB bo jeszcze nie przechodziłem tej procedury . Ktoś to przerabiał co trzeba podać ? Czy tylko e-mail wystarczy ? Bo jak tak to lekka kicha .
no to już faktycznie bezpieczniej, jeśli korzystasz z maków :) ja nie wiem jak wygląda w IB, ale faktycznie warto zapytać
Re: Bezpieczne logowanie
VPN to raczej prywatność, anonimowość, poufność. Dobre gdy chcesz ukryć się przed rządem kraju w którym przebywasz. Rząd nie będzie wtedy wiedział nawet tego po jakich stronach się szlajasz, nie mówiąc o treści. Twoje wpisy na forach pozostaną względnie anonimowe, a na pewno bardzo trudne do identyfikacji.
Oczywiście zakładając, że dostawca VPN jest godny zaufania i cię nie sprzeda.
Przeciwko atakom man-in-the-middle służy natomiast system certyfikatów, a nie VPN. Kiedy wchodzę np na stronę tradingforaliving.pl rozpoczyna się szyfrowanie TLS (dawniej SSL), ale najpierw strona przedstawia swój klucz szyfrujący i certyfikat.
No ale skąd wiedzieć czy to jest ta strona z którą chcę się połączyć, czy ktoś nie wlazł w środek (man-in-the-middle)?
Otóż certyfikat i publiczny klucz cyfrowy (wystawione dla domeny tradingforaliving.pl) muzą być podpisane jedną Głównych Instytucji Certyfikujących. Jeśli nie będą podpisane, przeglądarka wyświetli wyraźny błąd i ostrzeżenie.
Główne Instytucje Certyfikujące to tacy cyfrowi notariusze, którym się wierzy i ufa bezwzględnie. Lista certyfikatów głównych (ang. root certificates), należących do w/w głównych instytucji certyfikujących, jest zaszyta w systemie operacyjnym (np Windows). Niektóre przeglądarki (Firefox, Chrome) posiadają posiadają ponadto swoje listy certyfikatów głównych, niezależne od listy systemowej.
Te listy certyfikatów głównych to świętość. Każda modyfikacja takiej listy stanowi potencjalne ogromne zagrożenie dla bezpieczeństwa i jest aferą.
Tak samo jak notariuszem nie może być osoba, która wystawia lewe akty notarialne, tak na liście certyfikatów głównych nie może być certyfikat instytucji poświadczającej lewe certyfikaty dla domen.
Tak więc, żeby atak man-in-the-middle był w ogóle możliwy, musiałbym najpierw albo zainfekować twój komputer albo w inny sposób doinstalować ci certyfikat główny (tzn mój certyfikat główny, który sobie sam stworzyłem).
Żebym nie był gołosłowny, nawet rząd Kazachstanu, który miał ambicje podsłuchiwać obywateli, musiał najpierw zmusić ich do doinstalowania rządowych (lewych) certyfikatów głównych, aby móc zacząć wystawiać lewe certyfikaty dla domen i w ten sposób podstawiać swoje serwery (podsłuchy) w środek połączenia (czyli man-in-the-middle).
Pisano o tym w The Hacker News, a nawet w tym polskim brukowcu DobreProgramy.
Praktycznie nigdy nie są targetowane. Dzisiejszy hackerzy to zwykli biznesmeni, którzy liczą koszty do zysków.
Oni po prostu zarzucają sieci (jak rybak) żeby nałapać jak najwięcej ryb, przy czym jest im zasadniczo obojętne, które ryby się złapią. Ważne jest tylko (jak w każdym biznesie), żeby przychody przekraczały koszty.
Tak więc nikt nie będzie akurat ciebie atakował "za wszelką cenę", bo koszty byłyby ogromne, a zyski w żaden sposób niewspółmierne.
Jak postawisz serwer w firmie, to zostanie atakowany praktycznie natychmiast, codziennie i przez cały czas. Co nie znaczy, że ktoś ktoś się na ciebie uwziął. Hackerzy po prostu szukają kiepsko skonfigurowanych serwerów żeby je jakoś przejąć i jakoś wykorzystać (np do rozsyłania reklam).
Jak masz stronę internetową i email firmowy, to bardzo często będziesz dostawał w załączniku mniej lub bardziej wyszukane wirusy. Znowu, nikt się na cienie nie uwziął, liczą jednak na to, że otworzysz jakąś "lewą fakturę" lub inny dokument i zainfekujesz sobie komputer. Liczą też na to, że któryś z wirusów przejdzie prze twój antywirus (a żaden nie jest 100% skuteczny) i/lub innej twoje zabezpieczenia.
Tak samo strony internetowe z lewym oprogramowaniem, często udającym oryginały. To kolejny lepek na nieświadomych. Ktoś się zawsze złapie i sobie konia trojańskiego zainstaluje.
Paradoksalnie ataki targetowane najczęściej przeprowadzają służby, a nie przestępcy. Albo Policja rozpracowująca jakiś gang, albo służby specjalne państw działające w swoich celach.
Absolutnie, nie.
Podstawową wadą smartphone'a jest to, że jest zbyt wszechstronny i zbudowany ze składników różnych firm (system, nakładka producenta, podzespoły i sterowniki), co skutkuje często rozmyciem odpowiedzialności za jego bezpieczeństwo.
Jeśli komuś udałoby się przejąć twojego smartphone'a i uzyskać odpowiedni poziom uprawnień (np root), będzie mógł potencjalnie odczytać kopie twoich programów (a więc ich algorytmy), ich dane (w tym ich klucze prywatne), a do tego przechwytywać naciśnięte klawisze, ekran czy odciski.
To zaś oznacza, że jest ryzyko, że będzie mógł wydobyć wszystko co jest potrzebne do generatora kodów jednorazowych.
A nawet jeśli by tego nie zrobił, to i tak mając kontrolę nad twoim telefonem, jest ryzyko, że będzie mógłby zdalnie generować sobie przy jego pomocy kody, bez twojej wiedzy i równie niejawnie przesyłać je do siebie.
Z tokenem sprzętowym jest inaczej. Załóżmy, że masz token który wyświetla ci numery jednorazowe co 30 sekund. On ma w środku jakiś mikroprocesor, jakieś dane (kody/klucze) i algorytm. Nikt nie wie jednak jaki jest ten algorytm, w jaki sposób generuje kolejne numery, na podstawie jakich danych. A więc nikt nie wie jak przewidzieć kolejny numer, mając poprzedni.
Taki token też nie ma żadnej łączności i nigdzie się go nie podłącza. Nie da się go też często łatwo zdemontować, nie powodując jego zniszczenia.
Musiałbym ci więc go więc fizycznie ukraść, a jednocześnie posiadać twoje dane logowania (te niejednorazowe) i musiałbym z tego zacząć korzystać zanim ty zastrzegłbyś ten token u brokera. To jest skrajnie nieprawdopodbne.
Jeśli już, to bardziej atak man-in-the-middle, ale tu z kolei musiałbym najpierw uzyskać bezpośredni lub pośredni (np infekcja wirusowa) dostęp do komputera z którego korzystasz, żeby go do tego celu przygotować.
Musiałbym sobie przygotować też cały system do tego ataku, a nie chciałby mi się to robić dla jednego człowieka. Jeśli już to musiałby to być masowy atak na klientów danej platformy brokerskiej.
Przy okazji uważam, że token z wyświetlaczem jest lepszy niż token podłączany do USB. Znajomy miał token podłączany do USB, który generował kody jednorazowe, ale miał go cały czas w porcie. Gdyby ktoś miał kontrolę nad jego komputerem, mógłby po prostu sobie generować setki kodów bez jego wiedzy, bo token i tak siedzi w porcie godzinami.
Chyba, że token podłączany do USB, który jednak generuje kod dopiero po fizycznym naciśnięciu klawisza (na samym tokenie), wtedy już o wiele lepiej. Bo mamy kontrolę kiedy kod jednorazowy został wygenerowany.
Re: Bezpieczne logowanie
Wojtas, a który konkretnie token sprzętowy MFA polecasz zakupić?
Re: Bezpieczne logowanie
Wojtas, dzięki za rzeczowa i wyczerpującą odpowiedz. MitM jest w takim razie dla mnie jasne i wyciągam taki wniosek, ze przede wszystkim trzeba chronić dostęp do swojego komputera, bo bez podmiany certyfikatów u mnie w systemie nikt tu niczego nie zdziała. Wierze w Falcona i swój zdrowy rozsądek, wiec tu jestem spokojny :)
Co do tych kluczy sprzętowych, to YubiKey posiada funkcje, która wymusza najpierw kliknięcie fizycznego przycisku, żeby dongle zareagował, nawet jak cały czas jest włożony do portu. Ale w moim przypadku dalej wydaje mi się, ze większy sens maja tokeny w aplikacji na iPhone, bo ten klucz USB łatwo po prostu ukraść razem z laptopem czy z normalnymi kluczami i można go wtedy wykorzystać, natomiast skradziony telefon ciągle jest zabezpieczony przez Face ID i nikt sobie kodu z apki nie wygeneruje.
Co do tych kluczy sprzętowych, to YubiKey posiada funkcje, która wymusza najpierw kliknięcie fizycznego przycisku, żeby dongle zareagował, nawet jak cały czas jest włożony do portu. Ale w moim przypadku dalej wydaje mi się, ze większy sens maja tokeny w aplikacji na iPhone, bo ten klucz USB łatwo po prostu ukraść razem z laptopem czy z normalnymi kluczami i można go wtedy wykorzystać, natomiast skradziony telefon ciągle jest zabezpieczony przez Face ID i nikt sobie kodu z apki nie wygeneruje.
Re: Bezpieczne logowanie
Bezpieczne chipowe karty smartcard, czyli takie jak masz do podpisu cyfrowego, albo do bankomatu (z wyłączeniem paska magnetycznego i zbliżeń).
One mają mikroprocesor, PIN oraz port komunikacyjny. Odczytują, szyfrują i zwracają dane. Nie da się ich skopiować, a fizyczna kradzież jest użyteczna tylko wraz z PINem.
Jedyny skuteczny atak jaki przychodzi mi do głowy, to zawirusowany (przejęty) komp z kartą w środku. Wtedy hacker mógłby przechwycić PIN (za pomocą keyloggera) i korzystać z karty, jeśli byłaby ona akurat w czytniku podłączonym do komputera.
Bezpieczny jest YubiKey, o ile nie dojdzie do jego kradzieży. Ale nawet wtedy wciąż mamy hasło główne.
Bezpieczne są tokeny z wyświetlaczem. Tutaj też fizyczna kradzież wraz z poznaniem hasła głównego, mogła by stanowić podstawę ataku. Uznaję to za skrajnie nieprawdopodobne, skoro token można zawsze zastrzec a hasło główne zmienić.
Przy okazji: ważne hasła główne trzymamy tylko W GŁOWIE, nie w menedżerze. A jeśli ktoś ma słabą głowę, to niech przygotuje sobie dysk zaszyfrowany VeraCryptem i tam trzyma ważne dokumenty i informacje. W razie czego, trzeba będzie przypomnieć sobie tylko jedno hasło.
A jak ktoś ukradnie dysk, to nie będzie miał z niego żadnego pożytku.
To podstawa absolutna.
U mnie w firmie od lat przychodzą wirusy na emaila. Często je zbieram, biorę na warsztat i analizuję jak działają. Wielu ludzi tak robi.
Na podstawie tej analizy konfiguruję tak systemy, żeby te wirusy po prostu nie działały (nie infekowały), albo wręcz zostały od razu odfiltrowane przez serwer pocztowy.
Tak np filtruję w firmie wszystkie załączniki do email'i, które są programami lub czymś do programów podobnym. Doszedłem do wniosku, że jedna firma drugiej firmie programu w załączniku nie wysyła. Jeśli tak się dzieje, to przynajmniej w moim przypadku, zawsze był to wirus.
Dla przykładu Google w swoim GMailu też nie zezwala wysyłania oprogramowania przez email (tutaj plus dla Google'a). Moja czarna lista jest jednak szersza niż ta Google'owska.
Druga kategoria wirusów to wirusy Office'a. Ich nie mogę filtrować, bo uniemożliwiłbym firmie wymianę dokumentów. Więc po prostu wyłączam wszystko to z tego wirusy korzystają (od Office'owych makr zaczynając).
Efekt jest taki, że większość wirusów w ogóle nie przechodzi przez skrzynkę, a te które przechodzą (np w dokumentach Office) są niezdolne do infekowania. Taka konfiguracja sprawdza się u mnie od lat, na tyle, że antywirus stał się zbędny.
Jako ciekawostkę (choć dla niektórych dość oczywistą) jednak podam, że wszystkie, co do jednego wirusa, które przez lata dostałem na firmową skrzynkę, były wirusami Windows lub Office. Nawet jeśli wirus był dla Office, to zwykle wymagał Windowsa do działania (bo w pliku Office był jego tylko inicjator, który instalował wymagający Windowsa właściwy kod wirusa).
Dlatego posiadacze komputerów MacOS lub Linux mają na starcie ogromną premię bezpieczeństwa (o ile nie korzystają z CrossOver lub Wine), bo hackerzy nie polują tak na te systemy.
Rachunek zysków i kosztów wychodzi im po prostu nieporównywalnie lepiej na combo Windows + Office.
O nie, afer z tym było już naprawdę trochę. Tak na szybko:
iPhone 5S fingerprint sensor hacked by Germany's Chaos Computer Club
Apple iPhone 6 Touch ID Hacked
Apple's iPhone FaceID Hacked In Less Than 120 Seconds
Ale odłóżmy na chwilę medialne newsy i zastanówmy się tak na chłopski rozum.
Jestem hackerem, ukradłem twój telefon zabezpieczony FaceID. Co robię ?
Pierwsze co bym zrobił to rozmontował go i zrobił sobie kopie jego pamięci eMMC (czyli dane, system i aplikacje) 1 do 1 przy pomocy zewnętrznego czytnika, nawet go nie włączając.
Potem zobaczyłbym jak działa zabezpieczenie FaceID, a mamy tu 2 opcje:
1. Telefon uruchamia się, sprawdza twarz i jeśli się zgadza jedzie dalej. Jeśli nie, odmawia włączenia. Same dane nie są jednak zaszyfrowane.
W tym przypadku jest tragedia (dla Ciebie), bo najprawdopodobniej zdołałbym zmodyfikować pamięć eMMC (przy pomocy zewnętrznego czytnika) tak żeby tą blokadę po prostu wyłączyć.
A nawet jeśli nie, to miałbym wszystko co trzeba żeby stworzyć sobie kopię generatora kodów na swoim systemie (nie mogę włączyć telefonu, ale mogę wykopiować jego wnętrzności).
2. Telefon uruchamia się, odczytuje twarz, po czym przekształca je na postać cyfrową, która w uproszczeniu staje się kluczem/hasłem.
Owy klucz następnie jest używany do deszyfrowania danych telefonu, które są zaszyfrowane. Jeśli twarz jest zła, nie będzie jak odszyfrować tych danych.
Dane są bezpieczne, w zaszyfrowanej a więc śmieciowe i bezużytecznej formie.
Tyle, że wizerunki nas wszystkich krążą po sieci. Pierwsze co więc bym zrobił to wykorzystał twoją twarz (z fejsa, filmiku, skądkolwiek) i próbował oszukać identyfikator twarzy przedstawiając mu wizerunek do czytnika (wydrukowany, wyświetlony, cokolwiek).
Jeśli to by zawiodło, to mając dane eMMC, próbowałbym ustalić jak działa algorytm. Następnie posiadając twój wizerunek (z sieci), próbowałbym wykorzystać do zdeszyfrowania danych w telefonie, ale na zewnętrznym systemie (poza telefonem).
Jeśli by mi się to udało, mamy sytuację jak w pkt 1 i jestem w domu.
W reszcie mógłbym po prostu przerobić telefon, odpinając mu przednią kamerkę i podpinając coś co zamiast obrazu z otoczenia (jak to robi kamerka), przesyłało by mu twoją cyfrową twarz z facebooka przez cały czas. I wtedy go włączyć. Efekt jak wyżej.
Nieco bardziej skomplikowana sytuacja jest z odciskami palców, ale jest niemal pewne, że w czasach gdy dotykamy różnych sensorów i korzystamy z różnego oprogramowania, nasze odciski (ich wzory) zaczną wyciekać. To tylko kwestia czasu. Po czym będą mogły być wykorzystywane w różnych celach przez cyberprzestępców.
Wszystkie te dywagacje są przy założeniu, że kradnę ci telefon. A przecież mogę go zainfekować (np zdalnie), albo np ukraść, zainfekować i wspaniałomyślnie ci zwrócić, jako ten dobry znalazca.
Co w sytuacji gdy zastąpię twoją aplikację IB w telefonie, moją wersją, zmodyfikowaną ? Wtedy masz generator kodów jednorazowych i aplikację główną w tym samym miejscu, w zainfekowanej wersji, która w sposób niejawny wysyła mi zdalnie (a zakładam że twój telefon jest online cały czas) to co chcę. Ta aplikacja też robi to co ja chcę.
Całe te zabezpieczenie smartphone'ami może być więc oczywiście skuteczne, ale to wynika tylko z prostego rachunku prawdopodobieństwa (prawdopodobnie nigdy nie będziesz narażony na poważny atak), a nie z tego, że jest to takie super bezpieczne.
To jest to moim zdaniem wadliwe z założenia i co jakiś czas będziemy czytać w mediach o aferach z tym związanym (firmy będą usprawniać zabezpieczenia, a hackerzy je łamać i tak w kółko). A nawet jak nie czytamy, to nie znaczy, że część telefonów nie jest przejęta (np przez służby ścigające przestępców).
Sam IB, który przecież nie ma żadnego interesu źle radzić swoim klientów w kwestii bezpieczeństwa, również mocno zaleca token każdemu z nich. I to pomimo tego, że zrzeka się odpowiedzialności za transakcje na koncie (choćby były lewe), przerzucając odpowiedzialność za to na klienta.
Re: Bezpieczne logowanie
dzięki @Wojtas za obszerne wyjaśnienie tematu - szczerze powiem nie patrzałem na ten temat od tej strony, więc sporo się dzisiaj nauczyłem, za co bardzo Ci dziękuję!
Re: RobinHood - tanie inwestowanie
Ja pisałem o użytecznym narzędziu bez zbytniego popadania w paranoję, bo skrajności nigdy nie są dobre. Wszystko jest do złamania i nawet klucze sprzętowe a jeżeli nie to znajdzie się pewnie z 15 łatwiejszych sposobów jak kogoś/coś zhakować czy tam oszukać ;)
Nie odbierz mnie źle ale jak może to pisz trochę zwięźlej :)
Re: Bezpieczne logowanie
Hmm, myślałem właśnie, że te dane są zaszyfrowane aż do momentu poprawnej weryfikacji biometrycznej? Przynajmniej na iPhone'ach.
Heh, to wcale nie jest takie science-fiction, bo miałem tak dwa razy. Raz w 2011 roku jak byłem w Chinach na negocjacjach w sprawie wielomilionowego dealu. Przed wejściem do sali wszyscy musieli zostawić w sekretariacie swoje telefony, żeby nikt nie nagrywał spotkania. Potem po powrocie do Polski nasz firewall w korpo wykrył, że w tym samym czasie wszystkie telefony osób, które były na delegacji, zaczynają się nagle łączyć z jakimiś chińskimi serwerami przez firmowe wifi :)
Druga sytuacja, to już w ABW, jak się wchodzi do siedziby, to trzeba oddać telefon do depozytu jeszcze przed bramkami. Jak go potem odbierałem, to nagle mi komunikat wyskoczył, żeby zrobić aktualizację systemu do najnowszej wersji, chociaż parę dni temu robiłem update do tej samej właśnie wersji. Obstawiam, że ktoś wgrał tam w międzyczasie starszy zmodyfikowany soft. Potem to już nawet się uparłem, żebyśmy się spotykali obok w Pizza Hut, a nie u nich, bo ile można cyrku robić z ciągłą aktualizacją telefonu po każdej wizycie :)
Re: Bezpieczne logowanie
Niesamowite.
Jeszcze bardziej niesamowite, to ze na te wyrafinowane ataki najprostszym zabezpieczeniem byla by jednorazowa-torebeczka z plomba, ktorej nie da sie rozerwac bez sladu.
Jeszcze bardziej niesamowite, to ze na te wyrafinowane ataki najprostszym zabezpieczeniem byla by jednorazowa-torebeczka z plomba, ktorej nie da sie rozerwac bez sladu.