Jump to content

Security/privacy news


EraserheadX
 Share

Recommended Posts

55 minutes ago, acct said:

Σε αυτό το θέμα εξ ορισμού αναφέρουμε τα προβλήματα κάθε πλατφόρμας. Αυτό δε σημαίνει ότι κάθε είδηση που μας αφορά είναι δημόσια μομφή για το τηλέφωνο που αγοράσαμε. 

Όταν η "αναφορά" συνοδεύεται από σαρκαστικό σχόλιο, τότε δικαιούται απάντησης. Δεν είναι θέμα μομφής, είναι θέμα παραπληροφόρησης.

Όσο για τη δυσκολία, θα πω τα εξής:

1. Για να δεις μια τέτοια εικόνα, πάλι θα πρέπει να μπεις κάπου που δεν θα έπρεπε να μπαίνεις, δε θα τη βρεις στο cnn.com ή στο facebook.com... 

2. Μόνο εκτός Play Store; Rly;;;
http://arstechnica.com/security/2016/06/godless-apps-some-found-in-google-play-root-90-of-android-phones/

Edited by Wizard!
Link to comment
Share on other sites

Προφανώς δεν είσαι ο μόνος ιδιοκτήτης iPhone. Αν αισθάνεσαι την ανάγκη να απολογείσαι για τη συσκευή σου, θα βρίσκεις παντού αφορμές. Ακόμη και σε αυτό το θέμα.

 

1 hour ago, Wizard! said:

θα πρέπει να μπεις κάπου που δεν θα έπρεπε να μπαίνεις

Δεχόμεθα λίστες επιτρεπτών ιστοσελίδων.

 

1 hour ago, Wizard! said:

Μόνο εκτός Play Store; Rly;;;

Ναι. Δεν υπάρχει και δεν θα υπάρξει Drammer στο Play Store (ή αν/όταν κυκλοφορήσει Rowhammer για iPhone στο AppStore ή για Windows Phone στο Market). Πρακτικά, πάντοτε θα απαιτείται συμπληρωματικό κατέβασμα από άλλη ιστοσελίδα. Αυτό μπορεί να γίνει με μια φαινομενικά ασφαλή εφαρμογή σε όλα τα  App Stores και μπορώ να παραθέσω πολλά παραδείγματα που αποδεικνύουν ότι και τα τρία μεγάλα είχαν τέτοια κρούσματα.

  • Like 1
Link to comment
Share on other sites

6 minutes ago, acct said:

Δεχόμεθα λίστες επιτρεπτών ιστοσελίδων.

Ρε συ, τώρα πλάκα κάνουμε; Γνωρίζουμε οι περισσότεροι σε ποιά sites μπορεί κάποιος να κολλήσει οτιδήποτε, είτε αυτό είναι μέσω iPhone, είτε μέσω οτιδήποτε. Ο πιό απλός τρόπος να μην το πάθεις, είναι να μην μπαίνεις σε άγνωστα sites.

 

6 minutes ago, acct said:

Ναι. Δεν υπάρχει και δεν θα υπάρξει Drammer στο Play Store (ή αν/όταν κυκλοφορήσει Rowhammer για iPhone στο AppStore ή για Windows Phone στο Market). Πρακτικά, πάντοτε θα απαιτείται συμπληρωματικό κατέβασμα από άλλη ιστοσελίδα. Αυτό μπορεί να γίνει με μια φαινομενικά ασφαλή εφαρμογή σε όλα τα  App Stores και μπορώ να παραθέσω πολλά παραδείγματα που αποδεικνύουν ότι και τα τρία μεγάλα είχαν τέτοια κρούσματα.

Δεν αναφέρθηκα στο Drammer. Αναφέρθηκα σε αυτό που είπες, ότι ούτε στο Android κολλάς, αν μπαίνεις μόνο στο επίσημο Play Store και σου υπέδειξα πόσο λάθος είναι, αφού κατά καιρούς έχουν διακινηθεί κακόβουλες εφαρμογές και μέσω του επίσημου store της Google, γιατί απλά είναι ξέφραγκο αμπέλι.

 

Επίσης, δεν έχω καμία άλλη δουλειά να κάνω, από το να απολογούμε για τη συσκευή μου. Ειδικά όταν υπάρχει μια σαφής προκατάληψη και παραπληροφόση από δεκάδες haters που ψάχνουν να βρουν ευκαιρία να την κοροϊδέψουν, χωρίς να βλέπουν τα χάλια της δικής τους. Και αν είναι να μιλήσουμε για ευκολίες, δυνατότητες, κλπ, να δεχθώ κριτική, γιατί το iOS είναι κλειστή πλατφόρμα και είναι λογικό να περιορίζεται κάπου.

 

Όμως, να σχολιάζουν επειδικτικά χρήστες Android για την ασφάλεια και τα patches, είναι τουλάχιστον ειρωνία για να μην πω τίποτα χειρότερο. Ένα Android που για να κλείσει τις τρύπες μπορεί να τους πάρει μήνες.

 

Και μια που αναφέρθηκες στο "attack vector", για δώσε μου σε παρακαλώ στοιχεία με ποσοστά συσκευών που προσβλήθηκαν από κακόβουλο λογισμικό στη μία και στην άλλη πλατφόρμα. Γιατί δεν παίζει ρόλο το πόσο απλό θα ήταν να προσβληθείς, αλλά τελικά τι αποτέλεσμα είχε. Γιατί αν αφήσω ξεκλείδωτη την πόρτα μου στο σπίτι που έχω στο βουνό, μάλλον δε θα μπει κανείς, αλλά αν είναι στην Ομόνοια, μάλλον θα το βρω υπό κατάληψη την επόμενη μέρα.

Αντίθετα, στην άλλη πλευρά, τα πράγματα δεν είναι τόσο ευοίωνα, που είσαι αναγκασμένος να έχεις Antivirus για να είσαι ασφαλής...

https://www.theguardian.com/technology/2016/jul/06/what-is-hummingbad-malware-android-devices-checkpoint

https://www.cnet.com/uk/news/viking-horde-malware-attacks-android-devices/ (από εφαρμογές μέσα στο Google Store)

http://phandroid.com/2016/04/25/android-malware-ransomware-website/ (just visit a website to get infected! Κοίτα να δεις!)

https://www.fireeye.com/blog/threat-research/2016/04/rumms-android-malware.html (sms phising, για χαζούς, αλλά γίνεται)

https://duo.com/blog/android-device-rooting-malware-spotted-in-active-attacks (sms & mms)

 

Αυτά μόνο μέσα στο 2016 κι έχει άλλους 2 μήνες μπροστά του.

 

Link to comment
Share on other sites

 

2 hours ago, Wizard! said:

1. Για να δεις μια τέτοια εικόνα, πάλι θα πρέπει να μπεις κάπου που δεν θα έπρεπε να μπαίνεις, δε θα τη βρεις στο cnn.com ή στο facebook.com... 

 

σωστά, γιατί δεν υπάρχει περίπτωση να γίνει κανένα deface σε website "που επιτρέπεται να μπαίνεις" και να βάλει δική του εικόνα ο εισβολέας...

Link to comment
Share on other sites

@Wizard!

Μιλώ για το drammer που ανέφερες, παραθέτεις ένα άσχετο άρθρο για το Godless. Το συνεχίζεις στο επόμενο μήνυμα.

https://yourlogicalfallacyis.com/strawman

 

Μόλις επισημάνει οποιοσδήποτε προβλήματα στο iOS, ακόμη κι όταν αμέσως πριν έχει μιλήσει για το Android, το αισθάνεσαι ως κατηγορία και το αντιστρέφεις. Ομοίως όταν παραγνωρίζεις το malware που έχει βρεθεί στο App Store, για να βαφτίσεις το Play ξέφραγκο (sic) αμπέλι.

https://yourlogicalfallacyis.com/tu-quoque

 

Ακόμη χειρότερα, ενώ δεν έχω επιλέξει καν να παραθέσω τα κατεβατά με τον εντοπισμό κακόβουλων εφαρμογών στο App Store (δεν έχει καμία σχέση με τη συζήτηση), συνεχίζεις να αναζητάς εναγωνίως δημοσιογραφικά άρθρα (ούτε καν τεχνικά ή επιστημονικά), για να υποστηρίξεις τη σταυροφορία σου.

https://yourlogicalfallacyis.com/the-texas-sharpshooter

 

Όλες οι πλατφόρμες έχουν προβλήματα ασφάλειας, τα οποία αναρτώνται, όταν ανακαλύπτονται, σε αυτό το θέμα. Εσύ επιλέγεις να αντιμετωπίζεις κάποια σα να σε ψέγουν προσωπικά.

 

Επιστρέφω στην ουσία. Τα drive-by infections είναι δυνητικά πιο επικίνδυνα από όσα απαιτούν ηθελημένη επιλογή, εγκατάσταση και εκτέλεση μιας εφαρμογής. Αυτό ισχύει ανεξάρτητα από την πλατφόρμα στην οποία αναφερόμαστε. Το ίδιο είχα πει και παλιότερα για αντίστοιχο exploit στο Android.

  • Like 2
Link to comment
Share on other sites

Για αυτό που αντί να απαντήσεις με επιχειρήματα και στοιχεία, όπως έκανε ο συνομιλιτής σου, απαντάς με προσωπική επίθεση ως ειδήμον ψυχολόγος, χαρακτηρίζοντας τη συμπεριφορά του, πως το λένε; Δε μας έβαλες link.

Link to comment
Share on other sites

Wizard κάνεις λες και σου καναν προσωπική επίθεση.

Αλλά μου φαίνεται ότι είμαστε όλοι καλοί στο να κοιτάμε το δέντρο.

 

Το κακό ειναι ότι αν είναι iPhone και μας έχει τα λουριά από την αρχή μαζεμενα τότε είναι όλα οκ. Σπέρνει ή apple. 

Αν πάει να κάνει ακριβώς το ίδιο η Microsoft τότε ειναι η κακή Microsoft που σε αναγκάζει να κανείς updates με το ζόρι.

  • Like 2
Link to comment
Share on other sites

Τα "καλά" της απουσίας πραγματικής κρυπτογράφησης στα πρωτόκολλα ελέγχου drones:

http://arstechnica.com/security/2016/10/drone-hijacker-gives-hackers-complete-control-of-aircraft-in-midflight/

Το πλεονέκτημα τέτοιων μεθόδων είναι ότι δεν χρειάζεται ισχυρούς πομπούς για να καλύπτει το σήμα του νόμιμου χρήστη. Είναι χρήσιμο να διαβάσετε και το σχόλιο ενός εκ των δημιουργών, που επισημαίνει ότι πρακτικά σχεδόν όλα είναι επιρρεπή σε τέτοιες επιθέσεις.

  • Like 4
Link to comment
Share on other sites

http://www.theregister.co.uk/2016/11/11/google_pixel_pwned_in_60_seconds/

 

Quote

The Google Pixel fell to a team of Chinese hackers alongside Apple Safari and Adobe Flash

 

* The exploit launched the Google Play store before opening Chrome and displaying a web page reading "Pwned By 360 Alpha Team" [...] for $120,000 cash prize.

* Apple's updated Safari browser running on MacOS Sierra also fell [...] with a root privilege escalation zero day that took 20 seconds to run, earning the team $80,000.

* Qihoo 360 also breached Adobe Flash with a flick of the finger, digging up a combination decade-old, use-after-free zero day and a win32k kernel flaw to score $120,000.

Edit:

 

Edited by acct
  • Like 2
Link to comment
Share on other sites

8 minutes ago, Delijohn said:

Τι ποσοστό των server παγκοσμίως τρέχουν linux; 

+ ενεργό Cryptsetup. Επιπλέον, σε απομακρυσμένες απόπειρες σύνδεσης (πχ ssh) πιθανότατα δεν πρόκειται ποτέ να φτάσεις το όριο που απαιτείται, γιατί επεμβαίνει άλλος μηχανισμός άρνησης πρόσβασης.

 

Εντυπωσιακό ότι είχε ξεφύγει, αλλά λιγότερο επικίνδυνο από ό,τι το κάνουν να φαίνεται.

Link to comment
Share on other sites

Το πόσο επικίνδυνο είναι, δεν έχει να κάνει μόνο με το πόσα συστήματα είναι ευάλωτα.. αλλά με το τι υπάρχει πίσω απ'αυτά τα συστήματα. H ευκολία το κάνει πολύ εύκολο να χρησιμοποιηθεί προς οπουδήποτε.. 

Link to comment
Share on other sites

για να παρακάμψεις την ασφάλεια στο λάιναξ, πάτα το εντερ για 70 δευτερόλεπτα, το μπακσπέις 28 φορές κλπ. Αυτό δεν είναι λειτουργικό, είναι παιχνίδι της konami :hehe:

  • Like 1
Link to comment
Share on other sites

  • acct pinned this topic

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.