Security-all

Céges környezetbe keresek olyan megoldást, amivel biztosítható az otthoni munkavégzés is: elérhessék a belső Windows 7 alapú gépeiket munkaidőben.

Fontos, hogy minden esetben biztosítsa a rendszer a felhasználó azonosítását, tehát ne lophassák el, ne adhassa tovább a hozzáférést.
Ismertek olyan megoldást, ami a böngészőkhöz hasonlóan "megjegyzi" milyen gépről csatlakoztak, és mondjuk 30 napig ott nem kér MFA-t, új gép esetén pedig először engedélyezni kell?

Sziasztok!

Van ezzel az eszközzel tapasztalata valakinek? Különösen a Yubikey-vel való összehasonlítás érdekelne.

https://onlykey.io/

Üdv,

Épp DDoS alatt áll(t) rendszerem - szerencsére időben elcsíptem és blokkoltam az egész 5.188.211 subnetet. (from russia with love)
Azon tanakodtam, vajon hogyan, kinek lehetne/kellene jelenteni, ha ilyennel találkozik az ember. (a neten csak általánosan írnak "kibertámadás bejelentése" témakörben, hogy szóljak az ISP-nek, meg a hatóságnak stb - bármilyen nyelven. is.)
pl.: https://www.icann.org/news/blog/how-to-report-a-ddos-attack

OK, de konkrétan kinek?
Össze kéne szedni, milyen címre, milyen infót kell küldeni. Hátha valakinek több tapasztalata van.

Indulónak talán ez a legértelmesebb oldal, amit találtam, bár ez is messze van az egyszerűen elérhető konkrétumoktól:
https://www.enisa.europa.eu/

Sziasztok!

Érdekelne, hogy mennyire rejt valós problémát 2018-ban használni pptp-ét egy Mikrotik routerrel. Valós veszély-e? Felfognak törni napokon belül...Mert olvastam csomót, hogy elavult, könnyen törhető stb. De azért pár dolognak összekell állni, hogy megtörténjen a feltörés...

Zuckerbergéknél most nagyban főhetnek a fejek, ugyanis történt ezen a héten kedden vala, azaz 2018. szeptember 25-én, hogy a biztonsági szakértő(?)gárdájuk felfedezte több, mint 50 millió Facebook fiók kompromittációját, ráadásul egy igen kisstílű, rendkívül amatőr fejlesztési, tesztelési és reviewzási gyakorlatot a háttérben sejtető hibán keresztül.Öt éve is volt már egy ehhez hasonló, szintén nagyfokú amatőrizmusra rámutató hiba. Akkor a telefonszámokkal lehetett ügyeskedni és amiben hasonlít a mostanira, hogy ugyanúgy a teljes kontrollt át lehetett venni a kompromittált profilok fölött. [1] [2] Úgy tűnik sem az előbbi, sem a még szinte friss Cambridge Analytica botrány nem volt elég ahhoz, hogy az ingyenesség illúziójában ringatott felhasználóikat termékként értékesítő hiénák észhez térjenek, összeszedjék magukat és ne csak a marketing-osztályon törődjenek a felhasználók biztonságával, privát szférájával (bár utóbbi fogalom a Facebook mellett elég szürreálisnak hangzik).

Az eredeti bejelentés a Facebook saját hírportálján olvasható.

• Security Update September 28, 2018 by Guy Rosen

Az Index is lehozott belőle két cikket.

• Ez a Facebook történetének legsúlyosabb hekkertámadása
• 50 millió Facebook-felhasználó fiókja fölött tudták átvenni az irányítást ismeretlen hekkerek

Van ugye ez a Megtekintés Mint ... feature, amivel a privát szférájukért megjelenésükért és Facebook-portfóliójuk makulátlanságáért aggódó, virtuális társas ösztönlények megtekinthetik, melyik ismerősük konkrétan mit lát belőlük. Lényegében annyi történt, hogy a Megtekintés Mint ... feature odarenderelt egy videófeltöltő widgetet, ami nem read-only üzemmódban futott, ráadásul bugos is volt és a feature által lekérdezett felhasználónak generált egy hozzáférési tokent, amit elég volt kiolvasni a lekérdező (!) felhasználónak leküldött HTML forráskódjából, és máris átvehették a teljes irányítást a lekérdezett fiók felett.

Mert a centralizált adattárolás jó és szép. Mert a centralizált adattárolás az egyetlen hatékony és kivitelezhető mód az emberek kapcsolatban maradására. S akkor most csak kicsit voltam szarkasztikus.

Lokális otthoni hálózat egy OpenWrt/LEDE router-rel. Desktop gépről ssh-znék a notebook-omra, erre közli, hogy nem sikerült az autentikáció, vagy új kulcspár lett generálva, vagy man in the middle attack áldozata vagyok. Hirtelen az jutott eszembe, a desktop gépen upgrade-eltem oprendszert, azóta nem is próbáltam ssh-zni a notebook-ra. Aztán elméláztam azon, hogy egy oprendszer frissítésnek mi köze van a kulcsokhoz, pláne úgy, hogy a másik gépen nem történt változás.

Közben gondoltam arra, hogy itt kérdezek, de mivel hozzáférek a másik géphez, inkább fingerprintet kérdeznék le előbb. Gondoltam, teszek egy próbát, hogy újra lássam a hibaüzenetet, erre másodjára, nagyjából egy óra elteltével kérdés nélkül beengedett. Jelszót nem kér, mert kulcsos auth van. A known_hosts file-hoz nem nyúltam.

Mi történhetett?

Szevasztok!

(előrebocsátom, hogy nem vagyok jártas a titkosítások terén)

Van egy kis szerverem, amin a következő fontosabb szolgáltatások futnak: SMTP, IMAP4, HTTP, FTP, mindez saját domain alatt.

Amikor SMTP-vel levelet küldök, akkor a levél minden esetben a szolgáltatóm smarthostja felé van továbbítva TLS kapcsolaton keresztül. Minden más esetben az összes szolgáltatás (SMTP auth levelezőprogramból, IMAP4 auth, HTTP, FTP) titkosítás nélkül megy. Tudom, nem jó.

Titkosítást akarok bevezetni, elsősorban az SMTP-re és IMAP4-re. FTP-re, HTTP-re csak bónuszként.

Van némi (segéd)fogalmam arról, hogyan kell csinálni, de azért inkább kérdeznék:
-1) ha self-signed cert-et használok, akkor vajon egyes SMTP MTA-k (pl. Google) vissza fogják utasítani a titkosítás használatát az én SMTP-m felé való küldés során?
-1.1) self-signed cert esetén a levelezőprogram panaszkodhat az SMTP-mhez csatlakozáskor, hogy self-signed a cert, de ez mondjuk engem nem érdekel... vagy kellene?;
-1.2) SMTP-hez hasonló lehet a helyzet IMAP4 kliensnél is, hogy panaszkodhat, igaz?
-2) ha van már a gépen az ssh-hoz amúgy is DSS és RSA kulcs (dropbear), akkor azokat fel lehet használni a self-signed cert elkészítéséhez?

Szívem szerint self-signed certet használnék, de ha van rá kis esély is, hogy emiatt egyes MTA-k nem lesznek hajlandóak TLS-t használni az SMTP-m felé, akkor elmozdulnék pl. LetsEncrypt irányba.

Sziasztok,

gondolom, sokan talalkoztatok mar azzal, hogy a fejleszto Kollegak composer/whatever csomagokat mindenfele validalas, security audit nelkul hasznalnak/hasznalnanak fel. Milyen megoldasokkal lehet szerintetek ezeket hatekonyan ellenorizni security szempontbol? Nyilvan guglizhatnek persze, de a tapasztalatok sokkal jobban erdekelnek :)

Koszi :)

Adok e-mail fiókot régi kollégámnak, aki tegnap felhívott, hogy kapott egy emailt, amiben egy működő jelszava van, és azt írják, hogy pornót nézett, és a webcamhez hozzáfértek, fizessen be lét egy bitcoin tárcába. A történet ugye ismerős. Mondtam neki pár tippet, hogy kerülhetett ki a jelszava.

A mai napon én is kaptam egy ilyen levelet, volt benne egy e-mail/jelszó, a jelszó nem volt ismerős. Elővettem a firefox mentett jelszavait, és rákerestem a jelszóra. A supergamer.hu webshopban használtam 2016-ban. Vélhetően a rendszerük által generált jelszó volt, amit lementettem.
Felhívtam őket, hogy tudnak-e valami törésről, és rákérdeztem a komám email címére, az ott van náluk. Természetesen azt a választ kaptam, hogy náluk minden rendben van, és vélhetően nálam van valami leakage, spyware.

Kérés: ha kaptatok ilyen levelet, megnéznétek, ugyanigy a jelszómentéseket?

Volt korábban hír, hogy keringenek jelszavak a neten
https://index.hu/tech/2018/07/13/pornoval_es_lopott_jelszoval_zsarolnak…
https://index.hu/tech/2018/05/08/tobb_szazezer_magyar_jelszo_kerult_ki_…

de tényleg tőlem/komától lopták el?

Egy facebook bejegyzésben láttam újra egy régebbi - 2016 - problémát, ha volt már, akkor törlöm a bejegyzést.

Az OTP netbank jelszó 8 karakteresre állításáról van szó, illetve arról, ahogy ezzel az ügyfelek szembesültek. Akinek korábban hosszabb jelszava volt, azt javasolták, próbálja meg csak az első 8 karaktert beírni, úgy menni fog: https://twitter.com/otpbank_hu/status/742721150975913984

Azon gondolkoztam, hogyan lehetséges ezt megoldani, ha a jelszó hashelve van? Vagy talán cleartext másolat is lenne félrerakva valahol, hátha kell?