Security-all

Az ITcafé szerint (hamarosan mindenhol kinn lesz úgyis) már megint feltörték az SSL-t, jön a világvége, mindenkinek ellopják a jelszavát meg a pénzét a netbankból, az emailjeit is, meg a kutyáját a hálókábelen keresztül.

A szigorúan tudományos cikk itt: http://itcafe.hu/hir/ssl_hack.html
(Sajnos a cikk írója már megint valami sötét helyről előrángatott "hozzáértő" "biztonsági" "szakember")

A "törés" publikációja:
https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC…
(maga a támadás elég érdekes és ötletes, kár, hogy nem a protokollt támadják, hanem egy implementációs hiányosságot)

Holnap én is feltöröm az SSL protokollt :)

Sziasztok!

Ti hogyan állítanátok cégetek password policy-jét?

A túl bonyolult és gyakran lejáró jelszavak inkább biztonsági rést hagynak a rendszerekben, mintsem befoltozzák azt. A Felhasználók nem megjegyzik, inkább feljegyzik jelszavaikat (jobb esetben valami jelszó kezelő programba, rosszabb esetben jelszo.txt-be, legrosszabb esetben a monitor szélére). Még súlyosabb a helyzet, ha egy cégnél több különböző rendszerhez más-más autentikációs módok tartoznak, különböző jelszavakkal, esetleg még különböző jelszó szabályokkal.

Nyilvánvaló, hogy érdemes központosítani a jelszókezelést és az autentikációt, de szükséges a jelszó megadások szabályozása is.

Mire, mit állítanátok be?

Max. próbálkozások száma:
Előzmények száma:
Min. jelszó hossz:
Min. érvényesség (nap):
Max. érvényesség(nap):
Min. alfanumerikus karakterek száma:
Min. egyéb karakterek száma:
Min. eltérés az előző jelszóhoz képest, karakterben:
Szótáras ellenőrzés legyen (I/N):

Sziasztok!

A minap teljesen veletlenul a baratnom levelezeseben mutatott egy levelet amikor szemet szurt egy 'Eladó címlisták' subjectu spam, gyorsan tovabbkuldtem magamnak. A szoveg:

Tisztelt Címzett!

Az elektronikus Direkt Marketing közismerten a leghatékonyabb reklámozási módszer.. Közvetlenül elmondhatja potenciális ügyfeleinek, mivel szolgálhatja ki igényeiket. Legyenek azok vállalkozások, magánszemélyek, a címzettek jelentos része biztosan meg fogja látogatni az Ön által meghirdetett oldalt, s persze ennél sokkal többen fogják megismerni a levélben bemutatott terméket, vagy szolgáltatást.

Fentiek jegyében szeretném ismertetni Önnel szolgáltatásomat:

E-mail címek adás-vétele

- Érvényes, nem elavult listák
- Akár külföldi címek is (Ausztria, Szlovákia, Románia, Németország...)
- Rendkívül alacsony árak
- Gyors ügyintézés
- Rugalmasság
- Diszkréció
- Targetálási lehetõség (noi/ férfi nevekre szurt listák, cégek/magánszemélyek alapú szurés. Cégek esetében: küldhet emailt info@, office@, domain@domain.hu címekre.)

Amennyiben nem megoldott a hírlevél elokészítése és kiküldése, abban is tudok segíteni.

Az Ön szolgálatában:
***

Erdeklodnek hogy mi a teendo, kihez kell fordulni es milyen jogszabalyok vonatkoznak ide. Van mar valakinek tapasztalata ilyesmiben? Nem szeretnem szo nelkul hagyni a dolgot, gondolom ez ertheto.

a SANS Biztonságtechnikai Intézet összeszedte és publikálta a top 25 (web) programozási hibát, hogy ezek kizárására akár szerződni is lehessen...

forrás: http://www.pcworld.com/article/156894/nsa_helps_name_most_dangerous_pro…

az érdemi anyag: http://www.sans.org/top25errors/

Üdv lenne egy kérdésem.

Fent van a szerveren a snort és az alert logokat nézve látom hogy:

[**] [1:100000211:2] COMMUNITY WEB-PHP Gallery g2_itemId access [**]
[Classification: Web Application Attack] [Priority: 1]
01/11-15:44:17.993074 ***.***.***.***:4974 -> ***.***.***.***:80
TCP TTL:124 TOS:0x0 ID:52576 IpLen:20 DgmLen:620 DF
***AP*** Seq: 0xEAF0A783 Ack: 0x9AC7F96 Win: 0xF3EB TcpLen: 20
[Xref => http://www.osvdb.org/displayvuln.php?osvdb_id=13034][Xref => http://cgi.nessus.org/plugins/dump.php3?id=20015][Xref => http://cve.mitre.org/cgi-bin/
cvename.cgi?name=2005-0222][Xref => http://www.securityfocus.com/bid/15108]

Ebből látom hogy valami WEB-PHP Gallery vel van a probléma. A kérdésem arra vonatkozna, hogy hol lehet megnézni azt hogy ez melyik oldalhoz tartozhat, hol lehet beállitáni hogy ez is a logba kerüljön?

Üdv,

Régóta tervezem, hogy írok egy script-et vagy keresek valami progit, amivel azt tudnám csinálni, hogy ha bármilyen fájlt titkosítok GPG-vel, akkor az a progi ezt megnyitja és kéri a jelszavam, de a lényeg az lenne, hogy ha mentést nyomok a progiból és kilépek, akkor visszatitkosítódjon anélkül hogy újra berkérné a jelszót (amit már megnyitáshoz beírtam) és hogy fontos nyomokat hagyna.

Egyik ilyen anyagom lenne pl. egy OpenOffice Calc anyag. Habár OpenOffice tud titkosítva elmenteni, utánaolvasva nekem úgy tűnik, hogy az US törvények miatt gyengébb titkosítást használ. De nem csak OO-hoz kellene.

Arra gondoltam, hogy egy script-et indítva bekérem a jelszót cli-ből vagy GUI-ból, mindegy, majd letárolom egy változóba. Ha a progiból kiléptem, akkor meg visszatitkosítom a változó tartalma alapján, a titkosítatlan fájlt meg törlöm. Csak hát ez sok helyen megbukik biztonsági szempontból.. :)

A fájlrendszerem nem titkosított és nem is akarom titkosítani blokk szinten.

Ti milyen megoldást használtok olyan anyagok erősebb titkosítására, amit egy nap pl. 30-szor megnyittok?

Pár darab ilyen anyagom lenne, és jó lenne olyan megoldás, amit könnyen át lehet ültetni másik rendszerre.

Előre is köszi.

Sziasztok!

Szeretném beüzemelni a mod_security -t, eddig még nem használtam. Érdekelne, hogy milyen tapasztalataitok vannak vele, esetleg mire érdemes különösen odafigyelni?
Esetleg milyen konfigurációval használjátok? A gépen főleg Drupal alapú oldalak mennének, így trey tapasztalata is jól jönne, úgy tudom a HUP alatt is működik.

Köszönöm a segítséget! :)

Van már alpha release! :)

Mi ez?: http://idojaras.origo.hu/techbazis/szamitogep/20080602-paranoidlinux-op…
(jól néz ki ez a link ahogy kezdődik idojaras.origo.hu...)

Van egy üzenetük is:

Halló magyar ember!
Hello Hungarians! Hopefully this site will become translatable for some basic content that explains the website and the project. If you are multi-lingual and would like to help with this effort, please join us on IRC. (#paranoidlinux on irc.freenode.net)

Good day and have a safe one,
Jrabbit

Sziasztok.

Milyen módszert javasoltok/használtok (otthoni) személyi számítógépen tárolt adatok biztonsági mentésére? – A saját gépen gondolom nincs gond, a kérdés inkább a rokonok/ismerősök esetén merült fel…

Jelenleg mindenkinek kép winchestert te(te)ttem be, és hetente készül mentés/szinkronizálás a háttérben. Így nem zavarja őket, de ha nagy gond van, vissza lehet hozni. Villámcsapástól nem véd, de a véletlen hibázásból (ami ellen a RAID nem segít) és a wincsi romlásból (ami ellen az ugyanazon a wincsin tárolt bizt. mentés nem) eredő károk ellen igen.

Érdekelne, Ti hogyan oldottátok/oldanátok meg. Alapvetően egy gép van, esetleg szélessávval (de az általam próbált online bizt. mentés lehetőségekhez nem használhatóan széles). Két wincsit járatni folyamatosan zajos, többet fogyaszt, stb… (Tudom, a BIOS-ban ki lehet kapcsoltatni, ha áll, de akkor is…)

Sajnos megint bajba került a projekt, mint ahogy azt itt is olvasni lehetett. Bátorítok minden egyéni felhasználót az adakozásra. A cégek, akik a patch-et használják pedig fontolják meg a szponzorációt.

Ha mindenki belead havi 10 dolcsit, akkor szerintem közösségi alapon is számottevő összeg jöhet össze. Lásd fsn tégla projekt. Ami fontos, az fontos.

Kérem csatlakozzatok.

Üdv,
Dw.