Security-all

Openwrt/LEDE - WPA Wired -Radius

 ( zcs | 2017. november 9., csütörtök - 11:36 )

Sziasztok,

nem tudja valaki hogy alapvetöen elehtséges-e openwrt/LEDE-ben a vezetékes hálózati interfészt wpa-val felhozni mint Ubuntuban:
auto eth0
iface eth0 inet dhcp
wpa-iface eth0
wpa-driver wired
wpa-conf /etc/wpa_supplicant/wired.conf

Egy NAC(Radius) felé kellene Cert-el authentikálnom vezetékes hálózaton. Most próbálgatom nem sok sikerrel eddig...

Köszi,
üdv!

Yubikey kerdesek

 ( tigrincs | 2017. november 1., szerda - 10:14 )

Sziasztok,

A segitsegeteket szeretnem kerni az alabbiak megvalaszolasaban:

Nemreg elkezdtem hasznalni a Yubikey 4 -et.

Sikeresen atpakoltam ra a gpg kulcsomat (Master private key kivetelevel szoval csak a subkey -ek vannak rajta) mukodik is tokeletesen.
Az viszont nem egyertelmu szamomra ,hogy a gpg kulcson kivul tudok e ra mast is pakolni parhuzamosan pl X509 certeket?
Azt tudom hogy onmagaban ez lehetseges de akkor is ha mar rajta van a gpg kulcs is? Vagy ez masik slotban tarolodik?

Simple: mostantól még biztonságosabb

 ( r3flow | 2017. október 26., csütörtök - 20:09 )

privát kulcs

 ( csucsu | 2017. október 25., szerda - 19:42 )

Hello!

Generáltam több privát kulcsot openssl-lel. Sajnos nem tudom, hogy melyik kulccsal generáltam a .csr-t.
Hogy tudom kideríteni a .csr és az aláírt cert file-ból, hogy melyik a hozzá tartozó .key ?

Köszi, cs.

RSA keys generated by Infineon chips are vulnerable to hackers

 ( _Franko_ | 2017. október 17., kedd - 18:11 )

Na, még ez is: https://www.engadget.com/2017/10/16/encryption-companies-rely-on-has-serious-flaw/

"The researchers say that key lengths of 1024 and 2048 bits are able to be figured out with little effort using the public portion of the key."

ROCA: Sebezhetőség a Yubikey és egyéb, Infineon-alapú hardver tokenek RSA kulcsgenerálásában

 ( janoszen | 2017. október 16., hétfő - 16:22 )

Csak hogy ne teljen eseménytelenül az idő két wifi router frissítés között, az imént jelent meg egy cikk arról, hogy az Infineon-alapú hardver tokenek (pl. YubiKey) RSA kulcsgenerálása hibás, így az ezzel generált, 2048 bit vagy annál rövidebb kulcsok visszafejthetőek.

Cikk: https://arstechnica.com/information-technology/2017/10/crypto-failure-cripples-millions-of-high-security-keys-750k-estonian-ids/
Kulcstesztelő: https://keychest.net/roca
YubiKey advisory: https://www.yubico.com/keycheck/

D83FD505.[cry777@tutanota.com].arena - elgyepált egy Debian alapú szervert

 ( sigellef | 2017. szeptember 27., szerda - 21:30 )

Zsarolóvírus elgyepált egy szervert, csak a webes részen használt fájlokat titkosította. Továbbá a szerveren van egy nyílt ftp is, ott is kifingatott egy pár fájlt.

A levelezést és az userek fájljait nem bántotta.

A szerveren egy régebbi debian van használva.

Nagy kárt ugyan nem tett, a nyílt ftp-t csak fájlok cserélésére, használjuk, a webtartalomról meg mindig van másolat.

A rendszeren (/bin, /usr/bin, /etc, ... stb nem látszik változás fájldátum alapján.

[Megoldva] Mit tehetnék még ssh betörési probálkozások ellen?

 ( Fifi | 2017. szeptember 24., vasárnap - 9:17 )

Sziasztok!

Otthoni "szerverem" ssh szolgáltatását próbálják megtörni. Nem hiszem, hogy sikerül, mert csak egyetlen felhasználónak van engedélyezve a szolgáltatás és ő is csak a jelszóval védett rsa kulcsa segítségével authentikálhat, de vannak nem kíván mellékhatásai a betörési kísérleteknek:

1.) Rohamosan hizík az auth.log ezen mennyiségtől:
Sep 23 07:30:31 silent sshd[56367]: Did not receive identification string from 80.200.209.177
Sep 23 07:30:37 silent sshd[56364]: Did not receive identification string from 89.134.132.19

Windows védelem

 ( gee | 2017. szeptember 20., szerda - 13:31 )

Nyugdíjas családtag írt nekem, viszont egyáltalán nem értek a témához, mivel a saját gépemen csak Linuxot használok, a céges gépen meg a céges IT által telepített nagyvállalati védelmi megoldás van.

Biztos vagyok benne, hogy valami ingyenes megoldást szeretne. Tudtok segíteni, hogy mit kéne javasolni neki?

Idézet:
Jelenlegi gépem 3 évvel ezelőtti (használtan) vásárlásakor az eladó (egyébként rendszergazda valahol) az MS Essentials-t telepítette víruskeresőként.

[megoldva] wildcard cert nem működik intraneten?

 ( mauzi | 2017. szeptember 8., péntek - 20:38 )

Van egy intézményi CA. A tanúsítványa természetesen benne van kliensen a Trusted Root CA store-ban.

- aláírok vele egy sima tanúsítványt: host.cegnev.hu -> működik
- aláírok vele egy wildcard tanúsítványt: *.cegnev.hu -> működik
- aláírok vele egy sima tanúsítványt az intranet számára: host.foobar -> működik
- aláírok vele egy wildcard tanúsítványt az intranet számára: *.foobar -> nem működik

A "*.foobar" benne van a CN-ben és a subjectAltName-ben egyaránt, ahogy azt kell.
Az intranetes DNS név feloldódik rendesen.

PDF digitális aláírása (certet honnét?)

 ( Fisher | 2017. szeptember 5., kedd - 14:41 )

Üdv mindenki,

Csinálok egy doksit (nevezzük úgy), ami amúgy szabadon felhasználható, módosítható, ám én azt akarom, hogy amit én kiadok a kezemből, az egyértelműen azonosítható legyen, hogy azt én csináltam (csesztem) el, és nem más. Gondoltam hogy mi sem egyszerűbb ennél, digitálisan aláírom a .pdf-et, és remek, sőt, csodálatos lesz minden.

IoT eszkoz a halozaton

 ( tigrincs | 2017. augusztus 31., csütörtök - 10:11 )

Sziasztok,

Arra esetleg valakinek van otlete ,hogyan lehet elszeparalni egy IoT eszkozt a halozaton? Lehetoleg az alabbi eszkozok segitsegevel :)

Jelenleg egy szolgaltatoi modem/router (Huawei HG635) illetve 3 managed switch all rendelkezesemre:

NetGear ProSafe GS108PE
NetGear ProSafe GS110TP-200EUS
HPE PS1810-8G

Ha berakom az eszkozt kulon VLAN-ba az eleg vagy router oldalon is erdemes lenne jobban korlatozni?

Vagy vegyek egy normalis routert is? (ha ez lenne a konkluzio akkor ehhez is szeretnek segitseget kerni)

Az elerni kivant eredmenyek:

Malwarebytes android

 ( zitev | 2017. augusztus 27., vasárnap - 10:35 )

Amióta utoljára láttam fizetős lett a malwarebytes androidos verziója. Megváltozott (elgagyisodott) a kezelőfelület és első ránézésre nekem 'áltudományosnak' tűnik a védekezési metódusa (pl. úgy próbálja gátolni a kártevő települést hogy magára irányítja az apk-futtatást, és persze elutasítja annak a települését - persze ha a user simán kiválasztja a futtatáshoz az apk installert, akkor ennyi). A scanner látszólag úgy tesz, mintha - de nem tudni mi történik.

OpenVAS nem scannel - Internal error

 ( neutrino | 2017. augusztus 13., vasárnap - 13:11 )

Üdv,

https://www.atlantic.net/community/howto/install-openvas-vulnerability-scanner-centos-7/

Telepitettem ezen leirás alapján egy OpenVAS-t tesztelési céllal, viszont scannelni nem akar, mondván "Internal Error"

openvas-check-setup --v9
https://pastebin.com/PCvwQEBf

itt minden jó, a warningok ingorálhatóak.

A probléma ott kezdődik, hogy amikor a webes felületen felveszek egy hostot, taskot, akkor az "Requested" státuszba kerül, amikor rákattintok hogy megnyissan az eredményt átvált "Internal "Error"-ra.

openvasmd.log
https://pastebin.com/h2JcsqfT

Saját hosztolású jelszószinkronizáló megoldás?

 ( kumgabor | 2017. augusztus 8., kedd - 15:14 )

Sziasztok!

Tudtok olyan jelszó szinkronizáló megoldást böngészőhöz, ami
- Működik Firefox-szal Linux alatt
- Chrome-mal Linux alatt
- Safarival iOS alatt
- nem jutnak el harmadik félhez az adatok

A szerver oldali részt (ha van ilyen) tudnám biztonságos helyre telepíteni.

Jelszó tárolás, hogyan?

 ( prion | 2017. augusztus 7., hétfő - 9:13 )

Eljött az idő, hogy muszáj lesz tárolnom gépen jelszavakat, de nem csak jelszavakat, hanem egyéb bizalmas adatokat. Felhasználó neveimet, régebbi emailcímeket. Mert már annyi van, hogy amit nem használok aktívan azt elfelejtem.

Mi az ajánlott eljárás ehhez? Minél erősebb titkosítás és az lenne a szempont, hogy bárhonnan elérjem.

Mire érthette?

 ( neutrino | 2017. július 27., csütörtök - 16:52 )

http://index.hu/belfold/budapest/2017/07/27/tarlos_metro_bkk/

"A főpolgármester arról is beszélt, hogy túlterheléses támadásnak (harmincszoros terhelésnek) tették ki az online értékesítési rendszert.

Ennek a támadásnak Tarlós szerint egymillió euró az értéke, azaz 300 millió forint kellett hozzá. Gyerekek ennyi pénzt nem tudnak erre fordítani, ezért nem zárható ki, hogy valami koncepcionális dologról van szó, tette hozzá. Közölte: ez biztosan nem segítő szándékkal történt."

1 millió EUR, WUT?

DNSSEC nélküli aldomain

 ( netn00b | 2017. július 22., szombat - 21:57 )

Sziasztok!

Kérdésem elméletben biztos világos, viszont nem tudom, hogy mi a helyzet a gyakorlattal: adott egy DNSSEC-cel beállított domain, annak aldomainjeit is aláirkálja DNS szerver. Viszont mi a helyzet akkor, ha egy-egy aldomaint más NS-re bíznék, ami nem képes aláírni? Okozhat ez bármiféle nem várt hibajelenséget?

köszi!

Elektronikus alairas eszemelyivel Windows nelkul

 ( Z0l | 2017. július 9., vasárnap - 23:01 )

Lecsereltek a szemelyimet es kertem ra digitalis alairast, mert miert ne. A kezeloprogramot mar sikerult elkesziteniuk Linuxra es macOS-re, ugyhogy naponta tobbszor is cserelem mint az eID mind az eSign PIN kodjait (doh), de a KEASZ (Kormányzati Elektronikus Aláíró és Aláírás-ellenőrző Szoftver) amivel ala tudnek irni dokumentumokat meg ellenorizni alairast, az Windows only (azon belul is egyszerre kell neki .NET es Java a biztonsag kedveert).

Olcsó tanúsítvány 2017-ben

 ( muszashi | 2017. július 7., péntek - 16:45 )

Sziasztok!

Alapvetően nem ingyenes megoldást keresek. Valaki tud-e ajánlani saját tapasztalat alapján jó szívvel olyan szolgáltatót, ahol emberi áron tudnék beszerezni tanúsítványokat. Web és levelezésre kell több, alapvetően tesztrendszerek, de ki tudja mi lesz belőlük, tehát szánnék rá pénzt, de nem sokat egyelőre. Firefox, Chrome ne sikítson tőle, esetleg explorer se, de az elhagyató feltétel.

Hogyan verifikálnád?

 ( wachag | 2017. július 6., csütörtök - 7:07 )

A feladat elméleti, de érdekel. Szerintem nem megoldható. Kíváncsi vagyok, ti hogyan látjátok. Valószínű, hogy az egyik blogpost is ráhangolta erre a gondolkodásomat, de más úton merült fel bennem a kérdés:

Van egy szoftver, ami nyílt forrású, akit érdekel, az letöltheti, átnézheti.

Te binárisokat is közreadsz az egyszerűség kedvéért.

Hogyan tudja a user verifikálni, hogy az általad felrakott bináris a publikus forrásokból lett buildelve?

(Ez még relatíve könnyen megoldható)

Mi alapján gyanakszik az rkhunter?

 ( locsemege | 2017. július 1., szombat - 12:06 )

Ma cseréltem a korábbit 1.4.4-es rkhunter-re, erre ilyesmivel zaklat:

Letsencrypt mail servernek

 ( gee | 2017. június 29., csütörtök - 0:05 )

Ezen egy ideje rágódom, de nem találtam jó megoldást.

Van egy gép, linux, netfilter, publikus IP cím.
Bejövő smtp, submission, pop3, imaps kapcsolódásokat egy másik gépre továbbítja: linux, postfix, dovecot.
Bejövő http és https kéréseket egy harmadik gépre: windows, valami webserver.

A mail serveren lejárt a startcom cert.

Szeretnék helyette letsencryptet, de ami példákat eddig láttam, mind http-t akart használni. Az meg nem jut el a géphez.

Valaki belefutott ebbe már?

Valami jó ötlet?

Petya - fájlok visszaállítása.

 ( timi | 2017. június 28., szerda - 11:24 )

A Petya valóban csak a master file table-t titkosítja? Vagy csinál még valami mást low-level ami problémát okoz a visszaállításban?
Egy merevlemez fájljai visszaállíthatóak a master file table teljes elvesztése esetén is. Elvesznek ugyan a fájlnevek és a könyvtárstruktúra de a fájlok tartalma sértetlen. Természetesen egy banki rendszer még nem indítható el a fájlok raw visszanyerése után. A teljes adatvesztésnél viszont jobb a helyzet.