Bezpieczeństwo

why-need-img-1

Bardziej bezpieczne konto Google

0

Kradzież Twojego hasła jest łatwiejsza niż myślisz

Każda tych często popularnych czynności naraża Cię na kradzież hasła:

  • Używanie tego samego hasła w więcej niż jednej witrynie
  • Pobieranie programów z internetu
  • Klikanie linków w e-mailach

Cały ogrom facebook’owych wtop znajomych i przyjaciół w kwestiach bezpieczeństwa swoich danych przekonał mnie, że kradzież hasła, tym bardziej w celowym ataku na konkretną osobę nie jest trudny. Ciekawe jest to, że bardzo często najbardziej skutecznymi metodami jest socjotechnika.

Jedynie rozwijanie systemów zabezpieczeń ze strony IT poprzez zmuszanie użytkowników do pewnych zachowań ma szansę na ustabilizowanie poziomu bezpieczeństwa w Internecie.

Ja ze swojej strony dodam tylko jeden ciekawy “case”, który mam nadzieję dotrze do osób, które nie troszczą się o swoje prywatne dane. Używasz Android’a? Połączyłeś go z kontem Google? Super. Co powiesz na taki scenariusz?

  1. Ktoś kradnie Twoje hasło do Gmaila przy użyciu keylogger’a zainstalowanego na uczelnianym komputerze
  2. Po przeczytaniu Twoich maili dowiedział się, gdzie trzymasz swoje oszczędności, jaki masz PESEL, a ze skanu jakichś dokumentów zna nazwisko panieńskie Twojej matki
  3. Dzwoni do Banku podając się za Ciebie i odpowiadają na kilka pytań, resetuje hasło dostępu do Banku
  4. Przy pomocy Google Play, zdalnie instaluje aplikacje na Twoim telefonie, w tym jedna z nich może czytać Twoje SMS’y
  5. Zleca przelewy na Twoim rachunku bankowym używając przy tym kodów z jednorazowych haseł SMS wysyłanych na Twój telefon
  6. Pozostaje nadzieja, że nie zaciągnie pożyczki przez Internet na Twoim koncie bankowym

A Ty jak dużo masz do stracenia?


 

Weryfikacja dwuetapowa Google:

https://www.google.com/intl/pl/landing/2step/index.html

ITA_logo

Biuletyn IAiR Nr 29/2010 dostępny!

0

Nareszcie ukazał się również w wersji elektronicznej! Długo wyczekiwany przeze mnie Biuletyn IAiR 29/2010 jest już dostępny na stronach internetowych Instytutu Teleinformatyki i Automatyki WAT.

 

Dlaczego akurat ten numer jest dla mnie wyjątkowy? Zapraszam do lektury dwóch ciekawych artykułów zredagowanych przeze mnie oraz Piotra Litwniuka we współpracy z dr inż. Janem Chudzikiewiczem.

 

  • Projekt scentralizowanego, internetowego systemu rejestracji użytkowników [podgląd] [mirror]
    Piotr Kwiatek, Jan Chudzikiewicz;
    Streszczenie: W artykule przedstawiono opis projektu oraz implementacji systemu rejestracji użytkowników w serwisie internetowym. Omówiono ideę zastosowania systemu jako scentralizowanego punktu uwierzytelniania i autoryzacji użytkowników w Internecie, a także aspekty bezpieczeństwa z tym związane. Przedstawiono przykład wdrożenia opracowanegorozwiązania.
  • System Wspomagania Pracy Nauczyciela [mirror]
    Piotr Litwiniuk, Jan Chudzikiewicz;
    Streszczenie: W artykule przedstawiono opis projektu oraz implementacji aplikacjiwspomagającej pracę nauczyciela. Zdefiniowano wymagania funkcjonalne i niefunkcjonalne nakładane na system. Zaprezentowano diagramy interakcji wybranych przypadków użycia w notacjiUML. Przedstawiono współpracę z zewnętrznymi, w stosunku do omawianego, systemami (SRU, SZZD) poprzez mechanizm Web Services. Omówiono wybrane rozwiązania implementacyjnewykorzystane w projektowanym systemie.

 

 

Atak metodą brute-force przy użyciu THC-HYDRA

2

Artykuł przygotowany w ramach Studium Ataków i Incydentów na WAT, co tłumaczy również format w jakim powstał. W sprawozdaniu relacjonuję przebieg rekonesansu i sposób przeprowadzenia ataku metodą słownikową brute-force. Swoją drogą bardzo spodobało mi się znalezione na stronie Wikipedii pod hasłem “Atak brute-force” zdanie:

“Jest to zwykle nieoptymalna, ale najprostsza do zaimplementowania i najbardziej skuteczna metoda postępowania (ponieważ teoretycznie pozwala ona złamać każde hasło – praktycznie może to potrwać nawet tysiące i miliony lat).”

Nieoptymalna, bo właśnie może bardzo długo trwać. Najprostsza, bo wystarczy wskazać, gdzie “wklepywać” kolejne pary poświadczeń w nadziei na pomyślną autoryzację dostępu. I tutaj najlepsze. Jest to metoda najbardziej skuteczna. Nawet gdyby miało to trwać miliony lat, nadal jest to skuteczna metoda ;-) Prawie jak granice w matematyce. Wartość funkcji nawet przy niewyobrażalnie dużym parametrze do swojej granicy nie dobrnie, jednak przy parametrze dążącym do nieskończoności i owszem. Do artykułu odsyłam na docs.google.com lub wersji PDF do pobrania:

  • Atak metodą słownikową (brute force) przy użyciu THC-HYDRA [pobierz] [podgląd]
filezilla-icon

Filezilla Client – tryb ASCII dla plików bez rozszerzenia

1

Bezpieczna praca z Filezilla Client – tak, ale po przeczytaniu tego artykułu

W innym przypadku, używając domyślnych ustawień znanego klienta FTP Filezilla Client część plików w Twojej kopii zapasowej może zostać uszkodzona. Działa to w obie strony. Przy wysyłaniu plików na serwer FTP oraz pobieraniu. Kilkakrotnie robiłem już kopie zapasowe firmowych serwerów FTP wykorzystując tego popularnego klienta i aż strach pomyśleć ile z tych kopii zapasowych nie zachowała swojej integralności. Kiedy dokładnie powstaje problem? Najczęściej wtedy, kiedy plik binarny nie posiada rozszerzenia. Filezilla Client w swojej domyślnej konfiguracji używa trybu ASCII dla plików bez rozszerzenia. O problemie wspomniał już prawie 2 lata temu internauta ~alkis na stronach projektu filezilla (http://trac.filezilla-project.org/ticket/4235) jednak nie wiedzieć czemu na dzień dzisiejszy wersja 3.3.5.1 ciągle stosuje tryb ASCII dla plików bez rozszerzeń “default-owo” i nadal o tym jest cicho. Wysyłając plik moj_obrazek_z_wakacji na serwer FTP w trybie ASCII (a tak się dzieje, kiedy plik nie posiada rozszerzenia) można zauważyć, że po zakończonym transferze plik lokalny i plik zdalny różnią się rozmiarem. Okazuje się, że grafika na serwerze FTP jest w najlepszym wypadku nieczytelna, a z reguły uszkodzona całkowicie. W przypadku, gdy mamy do czynienia z działającą aplikacją webową i chcemy skopiować jej zasoby via FTP, kto wie, jakie pliki wysłał na serwer użytkownik forum, CMS czy CRM. Autor raportu błędu udzielający się na stronach filezilla-project.org podał jeszcze dwa ciekawe przypadki, kiedy Filezilla Client nas zawiedzie. (more…)

Facebook_Virus_war

Ostrożnie z aplikacjami na Facebook’u!

5

Dlaczego jest niebezpiecznie? Wyobraź sobie babkę z rodzynkami. System operacyjny np. Windows to ciasto, programy na nim uruchamiane to rodzynki. Analogicznie ciastem jest też Facebook, a Facebook Apps, czyli skrypty na nim uruchamiane to rodzynki. Facebook Apps siedzą w Facebook’u tak jak programy w Twoim Windows. Subtelną różnicą jest to, że Facebook nie jest wyposażony w system antywirusowy, a Twój Windows najprawdopodobniej tak.

Obiecałem kiedyś, że napiszę coś więcej o wielkim Facebook’owym “Boom!” jakie ma właśnie miejsce od niedawna w Polsce, ale również na całym świecie. Przepraszam, że rozczarowuję może co niektórych, bo nie piszę o tym jak Facebook wpływa na rozwój psychiczny młodego człowieka, jak straszliwie pożera jego wolny czas i jaki to jest zły i demoralizujący. Nie o tym.

(more…)

php-mysql

UMS 0.1 – System Zarządzania Użytkownikami (PHP)

6

Po kilku dniach pracy postanowiłem wydać do testów, pierwszą rozwojową wersję aplikacji webowej UMS (User Management System).

Strona domowa projektu
http://piotr.kwiatek.org/projekty/ums

Jako, że jest to pierwsze wydanie pozwolę sobie napisać nieco więcej. Kolejne wpisy tego dziennika zmian będą miały charakter skromnego changelog’a z opisem poprawek i nowych funkcji, które zostały wprowadzone.

Dlaczego aplikacja powstała?

System powstał na potrzeby jednej z firm, dla której pracuję, jednak prawa do aplikacji zatrzymałem dla siebie, dzięki czemu wszyscy możecie z niej korzystać zgodnie z warunkami licencji, pod którą została wydana.

Cele

Aplikacja ma za zadanie spełniać podstawowe funkcje panelu zarządzania użytkownikami oraz monitorować aktywność użytkowników na stronie internetowej. Dla przedsiębiorcy, który zamówił u mnie tą aplikację najważniejszym z celów było zabezpieczenie strony internetowej przed dostępem osób trzecich, a udostępnienie jej na hasło wybranym agencjom. Dzięki takiemu rozwiązaniu właściciel witryny może kontrolować:

  • który użytkownik najczęściej przegląda witrynę
  • jakie strony odwiedzał użytkownik, oraz który produkt najczęściej przegląda
  • jakie produkty są najczęściej przeglądane ogółem

A także korzystając z panelu zarządzania użytkownikami może kontrolować dostęp konkretnych użytkowników wykorzystując mechanizmy banowania oraz zmiany hasła.

Zalety

  • Darmowy
  • Łatwy w instalacji
  • OpenSource

Jak to działa? (DEMO)

Pobierz tą wersję

(more…)

Go to Top