Rabin

Courvoisier

@Rabin, Password Entropy is important https://github.com/dropbox/zxcvbn.

Lightning Talks - Защо Bitcoin съсипа сигурността в уеба?

Понеже само ти правиш опити да филтрираш фактите, не да ми злобееш по принцип.

Начи сичката таа работа с големите пароли дет ги гърчим да ги сменят секи месец. Се таа, при неправилния хеш алгоритъм тъй или иначе ще ти декриптират данните.

Т.е. гърчим се ние, гърчим бабите, админът псува, ама Security bible e закон. Кокошка пее, и тя не знаа що, смисъл никъв накрая.

@Ламби, всъщност имаш талант да пишеш булшит. Се ено оня бот горе го е издрискал. На мечтаното С2 ли си вече, да присъстваш на митингите с другите безсмислени кокошки?

Тъй си и знаах! 😁

Да ве, Баце, ама ако ти е ниска ентропията, мога да те брутфорсна. Трябват ми добри речници. Ще се учудиш колко хора имат парола 123456.

Courvoisier

Да ве, Баце, ама ако ти е ниска ентропията, мога да те брутфорсна. Трябват ми добри речници. Ще се учудиш колко хора имат парола 123456.

На баба ти Снежана й е се таа дали ще я брутфорснеш. Вътре в акаунта има някви нейни клиенти примерно.

Гана тормози и нас и бабите, за да варди нещо което на никой не му пука.

Ако пък е нещо важно то ще те брутфорсна за някви минути, с подходящия хардуер.

Ни тъй ни инак смисъл не виждам да тормозят всички на общо основание .

От много науки накрая листчетата по мониторите.

Се ено както бяха забранили излизането по гори и планини, кат са бяха запенили да ни правят домашен затвор. Няма логика, при все, че градският транспорт бачка, и ако ще се заразиш ще е там, а не на вр. Мусала.

Абе Гана каза, логика не търсИ.

Над 70 % от времето са ми губили да уйдисвам на тия безсмислени и непривлекателни същества.

Courvoisier

Да ве, Баце, ама ако ти е ниска ентропията, мога да те брутфорсна

Интересните врътки се правят през социално инженерския вектор, техничарщината за възможно най-добро секюрити разбира се е необходима и то критично но няма как чисто техничарски да се решат бронебойно проблемите около хуманската комуникация. Стопроцентово техничарско решение за секюрити е неизбежно непоносимо тегаво непрактично от хуманска гледна точка, съответно неминуемо изникват преки пътечки извън официално асфалтираните алеи. Сигурно и в пентагона има некви шано вратички към пушални/лавки/кенефи/клюкарници извън всякакви протоколи дето персонала ползва за по-сгодно вместо досадния зубърски протокол

Начи кво излиза:

1. На юзерите не им дреме за данните

2. Дебели пароли пак се декриптират успешно

3. Хакер за да стигне до хешовете начи няколко админа вече са я оплескали, на всичко отгоре седят у вътрешна мрежа дето се не види отвън

4. Гана не знаа за криптографските алгоритми, за да накара мен да ги имплементирам у системата

5. Туй че баба Снежана си сменя паролата не повишава осезателно сигурността

7. 70 % от корпоративния шит е също толкова безсмислен, а не ми вярвате, че при мен един човек върши работа колко на 10 в Корпорация. Без да си дава повече зор и без да кибичи на Скум.

8. Гана каза!

Кокошка пее, мале леее... Колкот тлъста, толкоз и неграмотна! Мале лееее!

п.с. Ей тез работи кат ги казах на ено интервю се спогледаха, изчервиха, изпратиха ме скоропостижно, и дори не ми се обадиха с негативен отговор. Направо като бит гъзец се умълчаха. И да, имаше грозна мома на висока позиция сред тях. Мале лееее!

johnfound

Между другото, съхранението на трудни пароли на листче изобщо не е лоша идея. Защото хората умеят да пазят ценни листчета доста по-добре отколкото да помнят сложни случайни пароли.

Най- ефективна е дългата парола, ако мерим ентропията. Например, парола от тип "v4eraVDetskataGradinaVrab4oPradnaPrezKomina". Обикновено комбинирам паролата със сайта. Например "daIbaMaikaVidaIbabgdev". Имам корен на паролата "daIbaMaikaViDaIba" и сайта "bgdev". Също така имам няколко различни ключа, зависи от важността. Помня 5 корена и след тях е сайта, в който влизам. В тях има и специални символи. Лесно се помни песен. Например "OiMariPenoNeOdiPoBregoBregoSeRenoKePadne6OtNego". На места ползвам 1password или подобно. Не съм сигурен колко е ОК браузърния, но general rule е да не го ползвам, защото той няма master password.

Rabin

Начи кво излиза:

1. На юзерите не им дреме за данните

2. Дебели пароли пак се декриптират успешно

3. Хакер за да стигне до хешовете начи няколко админа вече са я оплескали, на всичко отгоре седят у вътрешна мрежа дето се не види отвън

4. Гана не знаа за криптографските алгоритми, за да накара мен да ги имплементирам у системата

5. Туй че баба Снежана си сменя паролата не повишава осезателно сигурността

7. 70 % от корпоративния шит е също толкова безсмислен, а не ми вярвате, че при мен един човек върши работа колко на 10 в Корпорация. Без да си дава повече зор и без да кибичи на Скум.

8. Гана каза!

Кокошка пее, мале леее... Колкот тлъста, толкоз и неграмотна! Мале лееее!

п.с. Ей тез работи кат ги казах на ено интервю се спогледаха, изчервиха, изпратиха ме скоропостижно, и дори не ми се обадиха с негативен отговор. Направо като бит гъзец се умълчаха. И да, имаше грозна мома на висока позиция сред тях. Мале лееее!

Ако ти имам базата, вече на сериозен хардуер мога да рънна много хеширане и пак може да ми трябва много време. 6 символа, обаче, ще мога да врътна за относително малко време. Имаше кейс-стъди в хакернуун, един си направил скрейпър да тегли потребителски имена в редит и после се опитвал да влиза с 123456 и други пароли от най- баналното dictionary. И е влезнал в акаунти. Че трудно ще ти взема парите, така ще е. Дори нашите банки се усетиха за OTP и вече като плащам онлайн съм пренасочван към 3D Secur-а на Борика. Зависи от търгове, но Стийм вече ме е препращал, Близард също. Но, ти заеби парите. Има и други интересни неща. Exchange Server-а ти е публичен, нале? Хайде, да не е exchange, да е IMAP/POP3. Ми, ако правя бизнес шпионаж, достатъчно е. Може и за друго да става въпрос. Може да брутфорсна достатъчно хора, за да ти пострада реномето. Но да се върнем на тема пари, например сме в САЩ и ако този, който са хакнали, докаже, че аз съм виновен, че са го хакнали, защото не съм го предпазил достатъчно добре, то познай кой ще е виновен :) За щастие, ако ми гепат пари онлайн, аз съм си виновен. Но ако ми скимират картата, не съм аз виновен и следва да ми въстановят парите. Скимърите вярват, че всъщнсот те крадат от банките.

johnfound

Golden Gega

Твърде архаичен подход, слагаш четец за отпечатъци и нормално си влизаш с кутрето на крака например. При палец/показалец на ръката триеш/криптираш.

Е-е-е, първо това е StO и е лошо само по себе си.

Освен това, рискуваш в някои по-чувствителни случаи да завършиш със спасени данни, но без пръсти на ръката. Което е несъмнен минус на системата.

На теория и 2-factor е ОК. Поне изисква да знам паролата и да имам устройството ти. По принцип, ако се стигне до достатъчен садизам, много хора ще си кажат не само паролата, ами всичко.

За индустриалния шпионаж "хакване" е много по- обхватна дума. На коя конференция, некъв показа как прихваща картата за достъп (скимира я), издава си негова и влиза къде трябва. От там нататък е интересно по МАК ли давам достъп, на потребител от Активната Директория ли, или е анархия. Айде, по- уникс средите са идея по- добре. Но съм виждал много хора от мързел да оставят пароли 123456, 12345678, qwerty, zxcvbnm.

Понякога не ми и трябва да знам паролата. Просто ми трябва да имитирам сайта в който потребителят иска да влезне.

Иначе Гани съм виждал. Но от друга страна, всеки си има Гана, даже Ганата на Ганата на Ганата си има Гана. Не позволявай на една Гана да ти пречи на щастието. Гани бол. Хиперболизираш ли, навътре ли ги вземаш нещата, по интернет мога да гадая. Виж, интересни са предположенията на някои, те го предполагат, щото са го видели, но те ли са го видели лично, или са го видели в човек от екипа, или познат, или са чули е друг въпрос. Договорил си 8 часа на ден за N пари. Или ти ще играеш Ганите, или Ганите ще те играят тебе. Номерът е ти да въртиш Ганите, те да не се усещат, и да се вдигаш нагоре, докато станеш шеф на Ганата. Тогава ти си Ганата на Ганата! Ганасепшън! Обаче, животът е 8 часа сън, 8 часа работа, 8 часа за теб. Западняците му викат work-life balance. Животът не е само Гани. Има и други неща. Семейство, хобита, приятели (те не са много, ако са много са познати). Освен ако не станеш баси апостола, няма да промениш системата. Ако не си струва, не ставай апостол. Стани оня, къде е доволен от живота, постигна доста от нещата, които искаше.

Е, днес съм пренесъл 2 тона вароцимент, това, на което му викат хастарна мазилка. Не исках шведи да викам, ще ми направят паркета на гъз, а той е бук, много добре запазен, даже имам 20 м2 резерва. Пък и да давам пари на шведи, дгд. Отделно пренесох и кнауф ф2 ли беше, и гипсово лепило и мрежа още тон. Направо ме боли уйо за Гана в момента, потренирал съм предмишници, ще го хвана Гана на канадска да го сгъна. Но като стана Гана на Ганата, мисля да си купя Артекс. Артекс си е Артекс. Или ще е Артекс, или ще си построя къща, имам хора майстори. И двете са оферта. Но ако нямаш хора майстори, а имаш пари, вземи си Артекс. Щото и майстори бол, и те са Гани.

Courvoisier, да не си в полет покрай някой от твойте експерименти?

Теорията за ентропията повечето я знаем. Няма сми да обясняваш елементарни неща. Изтропа 3 огромни поста да пишеш шит, и па не си разбрал кво ти хортувам. На горките баби грам не им дреме за тия пароли, па ако ще и цялата маала да ги знаа.

Ся схвана ли или да напиша още 3 пъти?

Некадърниците по Корпорациите са вездесъщи, и няма начин да ги пребориш. И Стив Жобс да им се яви на интервю и ще му дадат задачи давани на олимпиада втори кръг у ФАЩ, туй за подаяния колкот да си плати квартирата. После ако минеш това те пращат на поточна линия наредени като у шивашки цех, целия човекопоток връви зад гърба ти, и камера гледа у секи монитор. Да ти кажа точно къде е това?

У кмб нещата са безнадеждно засрани. Ако случайно се промъкне някой дето му се бачка - само за 3 месеца се пречупва и става скатавка. Хубавото на тия безхаберници е, че лесно се скатава при тях.

Камери на входа съм имал. Камери в стаята не съм имал. Единствените места, за които съм чувал, че има камери са зеебургер и една жаварска компания на блвд България.

Courvoisier

и една жаварска компания на блвд България.

Там са. Само вече не си спомням у диамантената сграда ли бяха, дето има автобус на 45 минути, или до мол България, там са няколко фирми.

Кат съм ходил по чужденеция - тия винаги са били в пъти по-голям лабеж. На всичко отгоре си заминават петък по обед. Таман направят Скума и отиват да си пият кафето, и айде дошло обяд и дигат гълъбите.

Наща Гана организира седянка в петък след работа. Само щото имам съмнения, че колегата скатава от гаджето си и одят да пивтунят, не споделям името на фирмата. Не съм 100% сигурен, искам да кажа.

Добре! Но през лелката има как да ми направят индустриален шпионаж, или поне да се докопат до нещо, до което не трябва, или да ме злепоставят пред клиент. Тя, че лелката е ограничена, ограничена е, но все може да ѝ попадне нещо. Затова, ще си сменя паролата всеки месец, поне 6 символа, да има малка, голяма, число и специален символ, да не използва една и съща парола или повтарящя се дума 1 година назад. Че АСА-та трудно ще ми бутнат, това е друг въпрос. Че трябва да ползвам хеширащ алгоритъм за пароли (т.е., бавен), че трябва сол, че трябва да го извъртя 100-1000 пъти, това ясно. Че 2-фактор е още по- сигурно и това ясно. Че ще ограничавам и по мрежа и т.н., и това ясно. Но не мога да заложа сигурност само на едно място, трябва навсякъде да я заложа.

Courvoisier

Добре! Но през лелката има как да ми направят индустриален шпионаж, или поне да се докопат до нещо, до което не трябва, или да ме злепоставят пред клиент. Тя, че лелката е ограничена, ограничена е, но все може да ѝ попадне нещо. Затова, ще си сменя паролата всеки месец, поне 6 символа, да има малка, голяма, число и специален символ, да не използва една и съща парола или повтарящя се дума 1 година назад. Че АСА-та трудно ще ми бутнат, това е друг въпрос. Че трябва да ползвам хеширащ алгоритъм за пароли (т.е., бавен), че трябва сол, че трябва да го извъртя 100-1000 пъти, това ясно. Че 2-фактор е още по- сигурно и това ясно. Че ще ограничавам и по мрежа и т.н., и това ясно. Но не мога да заложа сигурност само на едно място, трябва навсякъде да я заложа.

Всички тия неща, дето написа, че са ясни, са всъщност много спорни. И реално приличат на карго култ. Ритуали, които никак не помагат за безопасността и даже може и да ѝ вредят. Но изглеждат солидно и погледнато отстрани изглежда, че се върши огромна дейност.

Истинската сигурност не изглежда така всъщност. Тя изглежда никак - нито се вижда, нито се чува, а атакуващият се озовава пред глуха и гладка стена, на която няма нищо за което да се захване.

Ми... виждал съм 3 пъти как разбиват служебните пощи на лелки. За мен са добри практики. И на сиското, и на микротика съм виждал сумати логове опити за брутфорс. Даже съм виждал опити за експлойти на nginx, php и т.н. Това само за да се доберат до парола. DOS опитите са ежедневие. Теб в момента не те ли сканират дневно? Като продавам сървис, бутнат ли ме и за 5 минути, това си е загуба на пари и репутация. Трябва да съм едър монополист или държавен, за да не ми пука толкова много. Но индустриалния шпионаж може да има още по- големи последствия за бизнеса. Вземи за пример апъл - те крият до последно.

Ще заключа бараката и ще унищожа ключа, но как ще влизам в бараката?

Добре! Но през лелката има как да ми направят индустриален шпионаж, или поне да се докопат до нещо, до което не трябва, или да ме злепоставят пред клиент. Тя, че лелката е ограничена, ограничена е, но все може да ѝ попадне нещо.

Идея си нямаш какви лични данни се врътят и през какви хора. Спирам дотук да не настъпвам повече болни места.

Затова, ще си сменя паролата всеки месец, поне 6 символа, да има малка, голяма, число и специален символ, да не използва една и съща парола или повтарящя се дума 1 година назад.

Затова на всеки монитор има лепенка с парола. Толкоз им е писнало на жениците с ваще малоумия, че са ми казвали дека обмислят да им фърлят компютрите и да одят да гледат домати на село.

Почти същото направих и аз, само дето се занимавам с индустрия.

Че АСА-та трудно ще ми бутнат, това е друг въпрос. Че трябва да ползвам хеширащ алгоритъм за пароли (т.е., бавен), че трябва сол, че трябва да го извъртя 100-1000 пъти, това ясно.

Нищо не ти е ясно, ами ти давам видео на чист кмб език да го гледаш, и пак дрънкаш простотии.

Че 2-фактор е още по- сигурно и това ясно. Че ще ограничавам и по мрежа и т.н., и това ясно. Но не мога да заложа сигурност само на едно място, трябва навсякъде да я заложа.

Аз вече съм го разправял тава. С едно аверче дето си пиехме пиенето години наред - фанахме частпром. Изпълнявам си мойте ангажименти, сичко бачка, и то предсрочно. Он се превърнал в Гана, като тебе.

После всичко в гъза, и клиенти и съдружници ни гледат сеира.

Он поне си беше кадърен с бая опит, тизе ми се струваш още доста зелен.

Courvoisier

Ми... виждал съм 3 пъти как разбиват служебните пощи на лелки. За мен са добри практики. И на сиското, и на микротика съм виждал сумати логове опити за брутфорс. Даже съм виждал опити за експлойти на nginx, php и т.н. Това само за да се доберат до парола. DOS опитите са ежедневие. Теб в момента не те ли сканират дневно? Като продавам сървис, бутнат ли ме и за 5 минути, това си е загуба на пари и репутация. Трябва да съм едър монополист или държавен, за да не ми пука толкова много. Но индустриалния шпионаж може да има още по- големи последствия за бизнеса. Вземи за пример апъл - те крият до последно.

Ще заключа бараката и ще унищожа ключа, но как ще влизам в бараката?

Явно нещо не сме се разбрали. Аз въобще не съм против мерките за повишаване на сигурността. Точно обратното – аз съм само за. Но сигурността трябва да се повишава правилно.

1. Всякакво "повишаване" на сигурността която причинява неудобства на потребителите е всъщност намаляване на сигурността. Защото потребителите просто ще измислят как да заобиколят системата. Или няма да измислят, но в процеса на измисляне може да изтече цялата информация.

2. За да започнат потребителите да се отнасят сериозно към сигурността, трябва те самите да го поискат. Не да се подчинят на началството, а именно да го поискат. За тази цел трябва да има някаква информация, която да е ценна лично за тях зад паролата, която им искаш.

3. Обучението на потребителите често е много по-ефективно от принуждението.

Courvoisier

Ми... виждал съм 3 пъти как разбиват служебните пощи на лелки. За мен са добри практики. И на сиското, и на микротика съм виждал сумати логове опити за брутфорс. Даже съм виждал опити за експлойти на nginx, php и т.н. Това само за да се доберат до парола. DOS опитите са ежедневие. Теб в момента не те ли сканират дневно? Като продавам сървис, бутнат ли ме и за 5 минути, това си е загуба на пари и репутация. Трябва да съм едър монополист или държавен, за да не ми пука толкова много. Но индустриалния шпионаж може да има още по- големи последствия за бизнеса. Вземи за пример апъл - те крият до последно.

Ще заключа бараката и ще унищожа ключа, но как ще влизам в бараката?

Просто си нямаш на идея какви данни са ни минавали през ръцете, и сме се карали като цигани с колегите. Да вземат да се сетят, че си играят с огън, щото безхаберието не е само до бабите с облепените монитори. Ще го ядем сичките чепат и четвъртит. Ако някой се издъни.

Не е само да тормозиш бабите, баце.

Пренатягане на гайката се казва. Може да ти е селско, ама да ти обясня с 2 думи.

Стягаш стягаш с ключа, оно става по-стегнато. Още стягаш, накрая казва "ПУК", и ти се ебава пушека после да поправяш пораженията. Ни работа си свършил, ами още си отворил.

johnfound

3. Обучението на потребителите често е много по-ефективно от принуждението.

Това е фундамент. Просто не съм го споменал изрично :) Фирмите с данни го правят.

Rabin

Просто си нямаш на идея какви данни са ни минавали през ръцете, и сме се карали като цигани с колегите. Да вземат да се сетят, че си играят с огън, щото безхаберието не е само до бабите с облепените монитори. Ще го ядем сичките чепат и четвъртит. Ако някой се издъни.

Финансовите данни за кредити, глоби и задължения, както и оценките на ипотеки на няколко северни държави влиза ли в сметките с личните данни? Даже имаше регистър, ако си бил executive в някаква фирма и тя е фалирала и/или има задължения.

https://www.youtube.com/watch?v=0KozdewgDRE

Всъщност темата е тая.

В кмб по всички фирми имат навика да се оправдават с експертния персонал, без да е вземал тези решения. Гана решава, после ти си виновен.

https://www.youtube.com/watch?v=BuHZAMc3EYQ

Сега мислено да си представим туй момче надъхано ама у кмб фирма. Аз на неговите години бутах 3 проекта едновременно, и за награда имаше заплахи за уволнение при неспазени срокове дадени от тях. Наградата за усърдна работа е повече работа.

После що цял живот ги храня. Ей затова! Като напуснах дори не ми дадоха справките както са длъжни по закон.

Ако таа паплач се разкара от кормилото - поне 2 пъти ще се вдигне КПД-то. В моя частен случай един без да си дава зор върши работа колкото биха 7 броя у мазна фирма.