Security-all

Üdv!

"Az amerikai és a brit hírszerzés feltörte az internetes szolgáltatások titkosítására használt SSL-technológiát, ezzel hozzáférhetnek biztonságosnak hitt emailezésekhez, egészségügyi adatokhoz vagy éppen banki számlákhoz – legalábbis ez szerepel az NSA-ügyet kirobbantó Edward Snowden legújabb dokumentumaiban, amelyeket egyszerre publikált a Guardian, a New York Times és a ProPublica.

http://index.hu/tech/2013/09/06/az_nsa_feltorte_a_banki_titkositast_is/

Mi a véleményetek?

Sziasztok!

Hogyan lehet Chromium vagy/és Iceweasel alatt beállítani, hogy csak HTTPS oldalakat lehessen elérni?
Valamint ha rossz a tanúsítvány/gyenge a titkosítás ne is ajánljon fel opciót az elfogadására!

Online bankingos géphez kellene..

Update: Chromium elszáll Segmentation fault üzenettel
Update 2: A megoldás thanx to luisex

Köszönöm.

Sziasztok,

A következőhöz kérném a segítségeteket, vagy ötletet.
Adott egy debian 7.1 szerver, honlapokkal, saját tűzfallal(iptables).
A honlapokat előszeretettel látogatják feltörési szándékkal, ezért beállítottam az apache2 config-jában, hogy bizonyos url-ek, amik nálam biztos, hogy nem szerepelnek (pl. wp-login) mod-rewrite segítségével automatikusan egy php scriptnél landolnak, ami a delikvens IP-jét beteszi egy iptables chain-be(fullbanned), értelemszerűen -j DROP-pal. Ez igy jól is működne, de mégsem jó, mivel

-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

előzőleg már engedélyezi, és utána már hiába tiltom a fullbanned-ben, ez már csak a következő, új kapcsolatokra fog vonatkozni. Igen, lehetne a sorrenden változtatni, de ahhoz túl nagy a net forgalom, hogy feleslegesen minden csomagot többször is ellenőrizzek, ezt szeretném elkerülni. Jelenleg, mivel jobb megoldást nem találtam a tcpkill-t használom az aktuális kapcsolat kinyírására, de hátha valakinek van jobb ötlete?
Például van valami mód arra, hogy a state flaget "NEW" ra állítsuk az adott IP-nél, mintha új csatlakozás lenne, vagy bármi más, amivel az adott IP kapcsolat meg lehet szakítani?

Kedves Fórumozók, Tisztelt Szakmabeliek!

Sok esetben fontos lenne őriznünk a privát szféránkat. Nem mindig és nem paranoid módon, de sokszor igen. Ezekhez vannak régóta eszközök, de tudjuk hogy ezek az egyszerű felhasználóknak használhatatlanok, mivel sokszor mély szakmai tudást igényel a megfelelő használatuk és sok a buktató. Ha viszont csak szakmabeliek használják, akkor kiesik ebből a nagy tömeg - pont akiknek segítenünk kellene a kezükbe adni olyan megoldásokat, melyek rendkívül egyszerűek és megbízhatóak és melyekkel egyszerűen védhetik saját kommunikációjukat.

Sok példát hozhatnánk fel hogy mikor érdemes titkosítást használni, de erről már sok bejegyzés született. Személy szerint hiszem hogy fontos, de sokszor azért nem használják, mert körülményes az eljárás.

A Web fontos szerepet tölt be mindennapjainkban és az információ cserében. A legtöbben itt a fórumon is webprogramozók. Az alábbi linken felvetettem egy témát, mely megvalósítása hiszem hogy szervesen hozzájárulna a közjóhoz és társadalmunknak jó szolgálatot tehetne:

http://hup.hu/node/126362?comments_per_page=9999

Nem lenne kedvetek nektek Szakmabelieknek hozzájárulni közösen a tudásotokkal egy public domain-be helyezett kód létrehozásához és karbantartásához, mely ezt a közös ügyet szolgálná?

Egyetlen index.html megalkotása a cél mely JavaScript-et használ szövegek és fájlok ki- és betitkosításához. Nem lenne-e kedvetek elmondani véleményeteket és tudásotokkal hozzájárulni ehhez? Lefektetni a célt, megtervezni a megoldást, felállítani a használandó eszközöket? Vagy így vagy egészen más módon? Csinálhatnánk több fajta CSS design-t, optimalizálhatnánk a kódot - mind grafikus, designer, szervező, rendszergazdai, és fejlesztői tudás is hasznos lehetne. Jó lenne megvizsgálni a kérdés az alábbiak szerint:

- mi a pontos cél?
- ehhez milyen eszközök lennének megfelelőek, melyek hosszú távon karbantartottak és megbízhatók működési és biztonsági szempontból is?
- hogy lenne jó érthetően tálalni az oldalon hogy mi ez és mit tud?
- milyen design lenne megfelelő?
- minimalizmus vagy nem?
- stb.

Egyszerű, szakmailag érdekes kihívás melyet egy egyén is megvalósíthat, de milyen érdekes lenne ha mindenki csiszolna rajt egy kicsit itt a Fórumon és gyorsan kapnánk egy alap hibáktól mentes kódot? Kis trollkodás is a jó irányba terelhet!

Köszönöm!

Megfuttatom a kérdést stackoverflow-n is:

http://stackoverflow.com/questions/18417302/short-message-encryption-wi…

frissítés 1 itt.

github repo itt:
https://github.com/cba74/crypt74

demo itt:
https://rawgithub.com/cba74/crypt74/master/index.html

tinyurl a demo-hoz:
http://tinyurl.com/crypt744

infó: működik a fájl titkosítás Firefoxon, Chromeon és Operán

megjegyzés: Firefox-on Windows platformon az .exe kiterjesztésű fájloknál van csak gond, mert gondolom rá akarja ereszteni alapértelmezetten a vírus ellenőrzést, de a JS mutatvány miatt nem tudja, ezen kívül úgy tűnik működik rendesen

Kedves Fórumozók,

A véleményeteket szeretném kérni.

Szeretnék találni egy gyakorlatban egyszerűen használható módot arra, hogy sima egyszerű felhasználóknak titkos üzenetet vagy fájlokat küldhessek. Volt mostanában hasonló téma. Nem szeretnék kulcsokat használni, csupán jelszavakat. Cél még hogy sima web alapú legyen és ne kelljen user oldalon semmit telepíteni vagy beállítani. Akár egy tábla gépen is megkaphassa a fájlt vagy üzenetet.

Sok kutatás után az kezd körvonalazódni nekem, hogy 3rd party-ban való megbízás nélkül nem egyszerű megoldani ezt ilyen feltételekkel. Az általam talált eddigi legjobb és működő megoldás titkosított üzenethez: https://cryptobin.org

Habár sima szöveg titkosításra van sok hasonló szolgáltatás, ebben megfelelő hogy csak kliens oldalon titkosít javascript-tel és ssl-en kapcsolódik, illetve hogy egyszerű a felület. De még itt is meg kell bízni a szolgáltatóban, mert habár a szerverén csak titkosítva tárolódik az adat és tegyük fel hogy használat előtt átnézem a js kódot és tárolok hozzá hash-t és ezt ellenőrzöm is mindig, azt nem tudom biztosítani, hogy amikor a user megnézi, akkor nem egy másik js kódot kap, amely elküldi a user által beírt jelszót a szervernek, hogy az adat mások által is kibontható legyen.

Ha megbízok a szolgáltatóban, akkor az üzenet küldés megoldva és bármilyen platformon bármilyen email szolgáltatóval használható. A fájl küldés még ekkor is kérdés. Ehhez küldhetnék egy linket a user-nek titkosítva, ahol a linkben a fájlnév random lenne. Itt még azzal van a gond, hogy a get kérés is kimegy publikusan és még a user előtt más is letöltheti - legalábbis meg van rá az esély. Lehetne apache auth-ot használni, de ez már kezd a használható kategóriából kiesni.

Kérdésem lenne hogy milyen jó megoldás létezik? Ti mit használtok titkosított zip-en, rar-on meg hasonlókon kívül?

Köszönöm.

van valami kesz webes tool, ami jol hasznalhato, van tapasztalat vele, es alkalmas arra, hogy a juzerek mondjuk LDAP auth utan maguk generalhassanak kulcsokat a hozzajuk tartozo VMekhez?

belso hasznalatra kene teljesen, ha kicsit hackelni kell, nem gond.
(pl hogy tudja, hogy X juzer milyen CN-re generalhat certet).

Hello

van egy drupal, amire óránként százával érkeznek a spam regisztrációk. Az admin felülethez nincs hozzáférésem - egyelőre nem érem el az oldal tulajdonosát, de gondolom valahol adatbázisban át lehet állítani a regisztrációs lehetőséget arra, hogy csak adminisztrátor hozhasson létre új felhasználót.
Melyik kapcsolót kell átírnom és mire?

köszönöm!

PZ

---

drasztikusan megoldva: jelentkezett az ügyfél, és töröltette a tárhelyét:))

Adott egy csomo ember, aki letrehozott egy bizalmas adathalmazt.
Ezt az adathalmazt kozze tudom-e tenni a Vilaghalon titkositva?
A mostani adatok 100 ev mulva mar nem lesznek erzekenyek,
de minden evben nehany alkalommal bovul az adatbazis erzekeny adatokkal,
ilyenkor kitolodik a 100 ev.
Kulon valasztani a regi adatokat az ujaktol bonyolult lenne.

Vedenem az adatokat, de a kovetkezo megoldasokban nem lehet bizni:
- robots.txt, keresok tiltasa (ez csak egy keres, vagy betartjak, vagy nem)
- .htaccess, jelszo az oldalra belepeshez (a tarhelyszolgaltato ellen nem ved)
- https, GPG, VPN, stb titkositasok

Egyreszt minden tikositas megkerulheto:
- alattomos informatikai
Vegpontokra becsempeszett rejtozkodo, figyelo alkalmazasok.
Az elektromos halozaton talan mar 20 eve el tudjak erni az osszes szamitogepet.
A hattertarolok az elmult 20 evben talan hazudtak a meretuket tekintve.
Talan egy 40 MB-os HDD 200 GB adatot is el tud tarolni.
A felhasznalo altal torolt adatok talan egy hologramos titkos rekeszbe kerulnek,
amit egy atlagember nem er el.

- szocialis

- torvenyes (a hatosag szamara meg kell adni a jelszot/kulcsot) vagy

- eroszakos modszerekkel

Lehet hatso kapu az
elvben is es a megvalositasban is.

Altalaban konnyebb a titkositast megkerulni, mint feloldani.

Masreszt nezzuk a titkositast onmagaban.
Lehet, hogy a szamelmelet a kovetkezo 100 evben nagyot fejlodik.
Lehet, hogy egy eros titkositast tobb ezer evig tart feltorni a kozhiedelem szerint,
de mi tortenik titokban a hatterben?
Mi van a kvantum szamitogepekkel?

Ezekbol kiindulva egy CGI-s kereso titkos uzembehelyezese szerintem lehetetlen.

Ilyesmitol rettegek:
mindent tudnak a pizzarendelorol.

Ugye most mar senki nem nez paranoiasnak?

Ezek utan inkabb terjesztenem az adatokat postan papiron vagy szemelyesen.

Ki tud segiteni?

Direkt lett így alakítva az IT mai képe - Cloud mindenek felett -, vagy csak kihasználják a helyzetet?

Sziasztok!

Anyagot gyűjtök a fenti témában, a feladat egy olyan forensics eljárási utasítás kidolgozása, ami egy cégen belüli informatikabiztonsági incidens esetén alkalmazható.
pl. 1: malware/rootkit/trójai fertőzés esetén felderítés, nyomok megőrzése (image készítés, mikor lehet felbootolni, mikor lehet felcsatolni a képet, milyen live cd-vel érdemes, milyen adatokat célszerű keresni stb) - maga a gép megtisztítása nem képezi részét ennek az eljárási utasításnak.
pl. 2: egy munkatárs a céges gépével elért olyan adatokat vagy erőforrásokat, amiket nem lehetett volna, teszem azt megszerzett egy admin jelszót és távolról bejelentkezett egy szerverre, ahol buherált valamit, stb. - a cél itt is hasonló, mindent, amit csak ki lehet deríteni az ő gépéről, azt megőrizni, izolálni, majd biztonságos környezetben analizálni.

Best practice-k, elérhető doksik, cikkek, tapasztalatok a témakörben, mindennek örülnék!

Köszi!