Jump to content



Security/privacy news


EraserheadX

Recommended Posts

  • 3 weeks later...

Και όσο οι Αμερικάνοι προσπαθούν (και καταφέρνουν?) να προσπεράσουν τα υπάρχοντα πρότυπα κρυπτογράφησης, οι Βρετανοί αποφάσισαν να τεμπελιάσουν και να απαγορεύσουν την θεωρούμενη ως ασφαλή κρυπτογράφηση :).

http://www.telegraph.co.uk/news/uknews/terrorism-in-the-uk/11970391/Internet-firms-to-be-banned-from-offering-out-of-reach-communications-under-new-laws.html

 

Η αιτιολογία:

 

They have enough difficulty finding the guilty. No-one has produced any evidence of casual curiosity on part of the security services

 

  • Like 1
Link to comment
Share on other sites

Όσοι έχετε το keepass αλλάξτε το...

http://thehackernews.com/2015/11/password-manager-hacked.html

 

Επίσης κάποιοι τσίμπησαν 1Μ$ απλά σπάζοντας το τελευταίο ios απομακρυσμένα...  B)

http://thehackernews.com/2015/11/ios9-zero-day-hack.html

Link to comment
Share on other sites

Αν κάποιος έχει αποκτήσει πρόσβαση στο μηχάνημά σου τότε έχεις μεγαλύτερα προβλήματα από τους κωδικούς που έχεις μέσα στο keepass (ή σε οποιοδήποτε άλλο password manager).

Link to comment
Share on other sites

Αν κάποιος έχει αποκτήσει πρόσβαση στο μηχάνημά σου και το κατάλαβες, ίσως είσαι σε καλό δρόμο να μην ξαναγίνει.

Συνήθως δεν θα το καταλάβεις καν και θα ξαναγίνει.. κ θα ξαναγίνει.. και στην ουσία δεν τον ενδιαφέρει το μηχάνημά σου.. αλλά το hardware σαν ισχύ ή τα data σου.

Τα data σου δεν είναι το porn σου ή οι φωτογραφίες από τη Σκόπελο το καλοκαίρι του '99, αλλά κυρίως οι κωδικοί σου και το πού του δίνουν πρόσβαση.

Εσύ συγκεκριμένα μπορεί να μπαίνεις μόνο στο thelab.gr.. κάποιος άλλος μπαίνει κάπου αλλού.. 

Link to comment
Share on other sites

τους είχαν προειδοποιήσει από το 2012 και δεν έκαναν τίποτα.. 

 

KeeFarce obtains passwords by leveraging a technique called DLL (Dynamic Link Library) injection, which allows third-party apps to tamper with the processes of another app by injecting an external DLL code.

 
The injected code then calls an existing KeePass export method to export the contents of a currently open database, including user names, passwords, notes, and URLs to a clear-text CSV file.
 
KeyFarce is just a password extraction tool that could work perfectly like a password Stealer for remote hacking when combined with a computer malware.
 
ίσως το lastpass ή κάποιο άλλο, είναι πιο προστατευμένο από τέτοιες επιθέσεις.. το online δεν είναι πάντα κ πιο "επιρρεπές" σε επιθέσεις.. αρκεί να γίνεται σωστά.
Link to comment
Share on other sites

τo Last pass Που είναι Online γιατί να θεωρείται πιο ασφαλές όμως;

To Lastpass δεν έχει το κλειδί της κρυπτογράφησης που είναι στην ουσία το password σου. Έτσι, και πρόσβαση να πάρει κάποιος στη βάση τους, πρέπει να αρχίσει brute force σε όλους τους λογαριασμούς για να βρει κλειδιά. Αδύνατο όχι, δύσκολο ναι.

Μεγάλα και δύσκολα passwords πάντα. 

Link to comment
Share on other sites

Αν κάποιος μπορεί να τρέξει ότι θέλει στον υπολογιστή σου, τότε ό,τι password manager και να έχεις θα μπορέσει να κλέψει τους κωδικούς σου. Και μάλιστα με πιό απλούς τρόπους από το συγκεκριμένο attack. Το vulnerability που εκμεταλεύεται το KeeFarce είναι του λειτουργικού και όχι του ίδιου του KeePass (σύμφωνα με τα γραφόμενα στο forum του).

Εγώ προσωπικά θεωρώ ότι το KeePass είναι ακόμα ασφαλές. Τουλάχιστον όσο ασφαλές ήταν και πριν.

Link to comment
Share on other sites

Το vulnerability που εκμεταλεύεται το KeeFarce είναι του λειτουργικού και όχι του ίδιου του KeePass (σύμφωνα με τα γραφόμενα στο forum του).

Τζιζ κακά... Το DLL injection δεν έχει να κάνει με το λειτουργικό, είναι μεθοδολογία προγραμματισμού. Όλες οι σοβαρές γλώσσες προσφέρουν δυνατότητα injection και όλοι οι προγραμματιστές το χρησιμοποιούμε γιατί έχει πάρα πολλά πλεονεκτήματα ειδικά όσον αφορά σε unit testing.

Όμως, όταν θέλεις με εφαργομή να είναι ασφαλής, ή θα πρέπει να βάλεις ελέγχους για τα Injected libraries (πχ md5 hash), που όμως σου χαλάει τη δυνατότητα unit testing και την ευελιξία του injection, ή θα πρέπει να μην το χρησιμοποιείς. Ανέκαθεν οι εφαρμογές που επικεντρώνονται στην ασφάλεια, αφήνουν πίσω άλλες ευκολίες. Δε μπορείς να έχεις ασφάλεια κι ευκολία μαζί.

Link to comment
Share on other sites

Αν είσαι security conscious enough να χρησιμοποιείς οποιονδήποτε password manager (όσες τρύπες και να έχει αυτός), μπορείς να παρηγορηθείς με το ότι είσαι πιο ασφαλής από το 99% των χρηστών εκεί έξω.

Link to comment
Share on other sites

Η δημοκρατική Βρετανία επιχειρή να αναβαθμίσει τη φαρέτρα της παρακολούθησης:

Υποχρεωτικά back-doors και ποινές για την αποκάλυψή τους, ακόμη και στα πλαίσια Κοινοβουλίου, δικαστηρίων, κλπ:

http://arstechnica.co.uk/tech-policy/2015/11/snoopers-charter-uk-govt-can-demand-backdoors-give-prison-sentences-for-disclosing-them/

Link to comment
Share on other sites

  • 2 weeks later...

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Δημιουργία...

Important Information

Ο ιστότοπος theLab.gr χρησιμοποιεί cookies για να διασφαλίσει την καλύτερη εμπειρία σας κατά την περιήγηση. Μπορείτε να προσαρμόσετε τις ρυθμίσεις των cookies σας , διαφορετικά θα υποθέσουμε ότι είστε εντάξει για να συνεχίσετε.