Zack

1. Na onecie moze i tak... , elliot_pl 27/12/03 21:57
   Ale rok temu jakis Qtas przejal moje konto pocztowe na tlenie. Pisalem do admina, ale ZERO odpowiedzi. Chamstwo! Potem z innego adresu napisalem na moj (byly) tlenowy. A jakis dupek wielkie zdziwko - co mnie sklonilo do napisania tego emaila... No brak slow...

   momtoronomyotypaldollyochagi...

   1. z ciekawosci? , Kraszan 27/12/03 22:41
      wjaki sposob przejal? haslo zgadl?

   2. mi skasowano konto na tlenie, ot tak , bwana 27/12/03 23:09
      potem zero odpowiedzi na wyslany 'mail protestacyjny' przez gdzies 10 dni i konto 'nagle ruszylo'. oczywiscie bez wyslanych/otrzymanych do czasu awarii listow. co wiecej, konto przy wysylaniu poczty (klientem i przez www) w czasie nieistnienia zachowywalo sie tak, jakby istnialo, np. wyslanie maila na to konto z jakiegos innego nie wywalalo zadnego bledu typu "mail nie dojdzie bo takie konto nie istnieje".
      
      Zastanawiam sie ile odpowiedzi na oferty pracy trafilo wtedy do mnie czyli nigdzie:-D
      
      jesli chodzi o utrate hasel to latwo w kilku sytuacjach:
      - cafe (haslo tlena/gg latwo bylo odczytac z pliku profilu)
      - siec lokalna - sniffujacy sasiad
      - publiczny ip - sniffujacy ktokolwiek
      
      niestety malo kto pamieta, zeby logowac sie w sposob 'bezpieczny' czyli przez ssl (na onecie i interii poczta ma taka mozliwosc, na tlenie nie pamietam). w przeciwnym przypadku haslo w postaci jawnej leci przez siec, nic tylko brac. W sieci lokalnej zbudowanej na hubach jest tez kiepsko, sasiad siedzacy na tym samym hubie bez problemu moze 'sluchac' pakietow ktore adresowane sa do nas lub przez nas (maly eksperyment z np. snortem moze sluzyc za przyklad) - i niestety nie da sie tego chyba wykryc.
      
      Tak wiec - jesli chodzi o dom, to uzywac ssl-a (wprawdzie i to mozna zlamac ale juz o wiele trudniej) a w cafe najpierw sprawdzac (nie pytac, tylko sprawdzac!) czy mozna usunac po sobie historie sesji w komputerze a dopiero potem placic i korzystac. Oczywiscie i tak ktos moze w cafe posadzic keylogger, moze byc admin zlosliwy i sciagac pakiety chocby z proxa, no ale na to niewiele sie poradzi.
      Keyloggera mozna oszukac przy podawaniu hasla bardzo latwo, chocby zamiast wklepywac haslo, robic copy-paste odpowiednich fragmentow tekstu z np. dowolnej strony www (najlepiej copy-paste w kolejnosci innej niz 'od lewa do prawa', bo i clipboard loggery przeciez tez moga byc).
      
      to tyle mojej home-made paranoi;-D

      "you don't need your smile when I cut
      your throat"

      1. Prawde... , Nepomucen 27/12/03 23:39
         ... mowiac nie przypuszczalem ze wokol czaji sie na mnie tyle niebezpieczenstw.
         
         T: Jak przetrwac w sieci - dobrze ze zalapalem sie na darmowa lekcje ! :)

         Nepomucen

         1. wprawdzie nie mam sie za eksperta, absolutnie kieruje sie jedynie zdrowym (mam nadzieje) r , bwana 28/12/03 11:19
            ozsadkiem, ale moge jeszcze dodac cos tam na temat.
            
            Bezpieczenstwo hasel moze byc szybko poprawione, jesli np. haslo do Twojego lokalnego komputera jest inne niz haslo do uslug do ktorych sie logujesz zdalnie (konto pocztowe, zdalny ftp ktorego uzywasz, konto na TPC) Wtedy, nawet jesli ktos przechwyci Twoje haslo np. do poczty i sprobuje sie zalogowac z nim do Twojego prywatnego komputera, nie uda mu sie to.
            
            Odpowiedzi na pytania pomocnicze do odzyskiwania zapomnianych hasel nie powinny byc takie, aby ktos znajomy je odgadl, np. 'ulubiony zespol', 'ulubiony malarz' - moi znajomi doskonale wiedza jakie sa moje odpowiedzi na te pytania, wiec odpowiedzia na nie jest cos zupelnie innego:-D Zreszta co tam znajomi, zalozmy ze zaczepi Cie ktos na tlenie (chodzi mi o komunikator) i zagada, rozmowa zejdzie na wlasciwe tory i sam wygadasz niechcacy, jak Ci wlezc na konto pocztowe.
            
            Mam nadzieje ze nikt z czytajacych przekornie nie sprobuje sprawdzac jakosci mojej skromnej paranoi, na wszelki wypadek chyba robie offline poki topic nie zniknie z Boarda:-D

            "you don't need your smile when I cut
            your throat"

      2. "uzywac ssl-a (wprawdzie i to mozna zlamac ale juz o wiele trudniej)" , Yosarian 28/12/03 00:42
         to podaj przykład takiego złamania bo do złamania 128bit to potrzeba ponoć niezłej mocy komputerów i ilus tam lat ciągłęj pracy ... XTC pisał kiedyś ze uczestniczył chyba w proframie na zasadzie SetiHome itp. i po iluś latach zamano chyuba 64 bitowy kod ... jeęzli tak postąpiono ze 128 bitowym to zabezpieczenia w bankach internetowych są g***o warte

         All the best people in life seem to like
         LINUX.
         Steve Wozniak
         

         1. to juz jest trucie dupy, Yos , bwana 28/12/03 11:05
            przeciez sam napisales w swoim komentarzu, ze zlamano, ale ze o kosztowalo to wiele wysilku - no wiec o co Ci chodzi? mozna, ale jest o wiele trudniej, prawda?
            
            poza tym lektura
            
            http://www.google.com/...mp;q=ssl+pitfalls&lr=
            
            np.:
            http://www.onlamp.com/...p/2002/06/27/openssl.html
            
            duzo zalezy od ludzi ktorzy ssl-a wdroza/skonfiguruja

            "you don't need your smile when I cut
            your throat"

            1. jeśli trucie dupy to z twojej strony bwana , Yosarian 28/12/03 15:27
               tak naprawdę to złamać mozna wszystko i jest to tylko kwsetią czasu ale i wymaga albo mocnego sprzętu albo zespoówego dzialania, więc po jaką cholerę w swoim poście na temat zwykłej skrzynki pocztowej robisz sugestie że ssl jest dobry ale nie do końca bo jak się popracuje to i snifujący sąsiad da sobie i z nim radę ??
               Ja myślałem że, sugerując j.w. posiadasz jakieś dodatkowe info w tej kwestii a tu dupa ... sorry tylko mędrkowanie ... zdarza się najlepszym.

               All the best people in life seem to like
               LINUX.
               Steve Wozniak
               

               1. to jeszcze poczytaj sobie o dystrybucji kluczy w polaczeniach ssl , bwana 28/12/03 15:43
                  albo zobacz dokladnie co idzie przez siec jak sie logujesz do konta www (web+ssl) - haslo idzie zakodowane, ale np. tresc listow, identyfikator sesji - jawnie - oczywiscie zalezy to od (konfiguracji) sajtu na ktorym jest dana usluga.
                  
                  poza tym czytaj to co czytasz - 'ale juz o wiele trudniej' - no wlasnie - oznacza to, ze 'o wiele trudniej'.
                  
                  Twoje oczekiwania i Twoje rozczarowania to, wybacz, Twoja sprawa a medrkowanie zaczales Ty, negujac najpierw a potem potwierdzajac moje slowa (vide - Twoja pierwsza odpowiedz na moj post).

                  "you don't need your smile when I cut
                  your throat"

                  1. dla mnie to , Yosarian 28/12/03 16:07
                     zdanie:
                     "... używac ssl-a (wprawdzie i to mozna zlamac ale juz o wiele trudniej)"
                     ma jednoznaczną wymowę: złamać SSL'a da się i nie ma tu znaczenia jak napiasał(e)aś że część jeast szyfrowana a cześć nie, wszak nie o to chodzi w tym zadniu !!! ale o względna łatwość złamania samego SSL'a
                     
                     A co do mojego "potwierdzania" to była próba (jakże nieudana, zweryfikowania info, tamtego i obecnego). Po prostu wziąlem Cię za osobę znającą się na rzeczy o wiele, wiele więcej niż ja i Twoje powyższe info potraktowałem tak a nie inaczej.
                     
                     No i oczywiścieże jestem sam sobie winien, nie inaczej ale nadal uważam że umieszczania zdania w takim brzmieniu jak Ty podał(e)aś w kontekście tematu zwykłej poczty to rodzaj małej nieodpowiedzialności.

                     All the best people in life seem to like
                     LINUX.
                     Steve Wozniak
                     

                     1. przyklad (do przemyslenia) i inne takie tam , bwana 28/12/03 21:45
                        przyklad:
                        
                        banki oprocz uzywania ssl stosuja tez dodatkowe (a wlasciwie - podstawowe) zabezpieczenia w postaci tokenow/zdrapek czyli generatorow jednorazowych/krotkoterminowych kodow-kluczy. dlaczego?
                        
                        inne takie tam:
                        
                        dzialanie (nawiazywanie polaczenia, czy tez inicjowanie sesji) ssl jest opisane w rozdziale 3 tutaj: http://www.ais.pl/~muflon/progzesp/ssl.html Co dzieje sie zanim dane zaczynaja byc szyfrowane, latwo z tego schematu wyczytac. Nie znaczy to, ze dane w sesji sa podane 'na talerzu', ale punkt zaczepienia do naruszenia prywatnosci juz jest.
                        
                        Powolujesz sie na szyfrowanie o (duzej) sile 128b lub 64b. Takie (128) szyfrowanie jest dosc czasochlonne dla maszyny, powoduje tez (chyba) narzut przepustowosci lacza (im silniejsze szyfrowanie, tym wieksze dane zaszyfrowane - ale glowy nie dam). Przykladowo - platne konta na Onecie sa opisane jako 'chronione ssl-128b' ale juz np. konta darmowe w tym portalu sa opisywane jako 'chronione ssl-em' bez podania sily szyfrowania - mozna wiec zalozyc z duza doza prawdopodobienstwa, ze jest to szyfrowanie slabsze niz 128b (np. 48b) i, co za tym idzie, stanowi zabezpieczenie latwiejsze do sforsowania.
                        
                        Wrocmy jednak do zrodel poddyskusji. W moim poscie jest napisane mniej wiecej 'UZYWAJ ssl-a, mimo ze jest on do zlamania, to jednak blahblahblah' natomiast Twoja reakcja bardziej pasowalaby do tego, gdyby moja opinia/rada brzmiala 'NIE UZYWAJ ssl-a, bo i tak latwo go zlamac'. Mam nadzieje, ze juz widzisz roznice miedzy domniemanym 'latwo' a faktycznym 'o wiele trudniej'.

                        "you don't need your smile when I cut
                        your throat"

                        1. widzę , Yosarian 3/01/04 00:17
                           :-)

                           All the best people in life seem to like
                           LINUX.
                           Steve Wozniak