Názory k článku
Největší hrozby internetu? Trojské koně, phishing a sociální sítě

citam tu web 3.0… to uz nieco take „existuje“? takze som asi uplne mimo, alebo som to tak celkom nepochopil :)

3jky sú lepšie ako 2ky

ja nevim jak vy, ale my s frantou uz jedem na webu 4.0. ma to i integrovaneho deniala docekala.

sakra, hulan skoncil jen u web 2.0

Existuje uz davno, alternativne oznacenie ako „semanticky web“.
Chcel by som vidiet toho manazera 2.0, ktory tie buzzwordy vymysla a potom presadzuje medzi tupe masy.

Již déle jsem viděl souvislost mezi sociálními sítěmi a sociálním inženýrstvím :-D

Mě by celkem zajímalo, kde je k sehnání ten „open-source“ software, pomocí kterémho prolomili Mifare Classic. Používáme to v práce k mnoha účelům (docházka, zaměstnanecké slevy, …) takže bych rád otestoval, jak to s tou bezpečností vlastně je.

Najdes ho priamo na strankach Pavla Luptaka: https://www.nethemba.com/

http://code.google.com/p/mfcuk/

Dovoluji si odhadovat, že všechny účely, ke kterým v práci používáte Mifare kartičky jsou ve skutečnosti jen přečtení čísla čipu karty s napojením na centralizovanou databázi.

Tedy něco tak děravého, že k tomu žádné prolomení karty není třeba – číslo čipu se přenáší nešifrovaně.

Díky za odkaz.
Jinak s tím použitím karet je to tak jak říkáš. Nicméně do budoucna se počítá i s uložením některých informací přímo na kartě – např. budou sloužit místo permanentek do sportcenter apod.

Ať pan Dočekal laskavě mluví za sebe a postižené lidi, kterých se to týká. Mně by třeba popisovaná ztráta soukromí velmi vadila a dobře vím, že nejen mně.
Svá data pochybným cloudům či sockosítím nikdy vědomě svěřovat nebudu a budu dávat velký pozor, aby se tak pokud možno nestávalo nevědomě. Tuto pošetilost rád přenechám vymytým mozkům a jiným pacientům, pro které se technologie nestávají sluhou, ale velmi zlým pánem – bohužel, blbost dnes jen kvete…

ja se necitim, ja JSEM VIC! ;)

Zatlačení víček rád přenechám příbuzenstvu nebo opravdovým přátelům.
O žádné fejsbůkové vymaštěnce ve svých posledních vteřinách nestojím. :-)

Já nevím, jak Vy, ale já si žádné Facebookářské vymaštěnce do kontakt listu na FB nedávám… ;)

Proc by me melo trapit, ze nemam zavrene vicka, kdyz uz jsem mrtvej? :-)

Moc děkuji za zajímavý článek. Škoda, že asi nikde nebude nějaký záznam z přednášek (zřejmě nebyl ani žádný pořizován).

„Jedná se o profesionálně propracované vydírání, které má dnes dokonce velmi pohodlné placení.“ Jake velmi pohodlne zpusoby placeni pouzivaji vyderaci?

predpokladam, ze „pro utocniky pohodlne“. Treba pri platbach do Western Union nezjistite, komu jste penize poslal..

Zdravím, nejprve díky za pěkný a zajímavý článek.

Zhruba před rokem jsem si koupil knihu Bezpečnost v Linuxu, kde v kapitole o špionážních programech (mám na mysly např. spyware) byl popsán triviální prográmek v jazyce C na několik řádků. Byl schopný získat informace jako např. jméno a IP počítače, seznam aktivních uživatelů, včetně jejich UID, GID a domovské složky, o systému a pod., vše zabalil do úhledného mailu a odeslal na určenou adresu…

Ze zvědavosti jsem si program přeložil, vyzkoušel a nechal jej prověřit baterii antivirů (nejprve Avast, potom AVG a nakonec Clam AntiVirus) a byl jsem nemile překvapen tím, že žádný na něj ani neupozornil…

Zajímavé na tomto prográmku je že, – o proti běžně vžité představě – téměř nic nedělal přímo on sám. Opravdu, žádné složité vlámání do systému. Buď využíval běžně dostupných (= nepotřebuje k jejich volání práva roota) funkcí ze systémových knihoven, nebo programů, které jsou dostupné na drtivé většině distribucí, popř. se automaticky instalují základem systému. pravděpodobně proto se antivirům asi nezdál nijak podezřelý…

Nejsem žádný odborník takže mě osobně z této zkušenosti vyplynuly alespoň tři (jednoduše pouze vypadající) pravidla, která by mohla alespoň snížit pravděpodobnost úspěchu takového útoku :
1) Snažit se zabránit tomu, aby se takový program dostal do počítače
2) Pokud možno, co nejvíce minimalizovat mrtvý kód a programy které nejsou nijak využívány.
3) Sledovat co a od koho odchází z počítače ven.

Na tenhle pokus jsem si vzpomněl, když jsem četl výrok pana Pikáleka „Jakmile je schopen antivir takový kód odhalit, ten už dávno svou úlohu splnil…“ a napadlo mě zda existují (a jak jsou úspěšné) metody, které takovýto zlovolný program umějí odhalit, nebo se na ně přijde většinou tak, že jej nahlásí nešťastný uživatel/správce?

Ale toto nie je ziadny spyware. Toto je obycajny program. Na to aby ste nieco taketo zistili dokonca nepotrebujete ani prekladac. Staci obycajny shell script. Chranit sa da viacerymi sposobmi. Zakaz emailovu komunikaciu smerom von, zakazat +x priznak pre HOME adresare, … . Ale v principe nie je co odhalovat. Je vasa vec co komu posielate.
Heslo k systemu, administratorsky zaujimave udaje neziskate.

Máte pravdu, je to jen obyčejný program (a navíc pouze demonstrující určité principy – „profesionální cracker“ by si s tím dal asi trochu víc práce. Navíc si myslím, že u shellového skriptu je vyšší riziko jeho odhalení). Mě však zarazila jednoduchost a zákeřnost celého toho problému.

„Ale v principe nie je co odhalovat. Je vasa vec co komu posielate.“ Jj. to je sice pravda. Zas na druhou stranu je to trochu alibistické mávnutí rukou. Jde o to, že tenhle prográmek geniálním způsobem zneužívá naprosto neškodně vyhlížejících aplikací, určených pro normální práci uživatele a (samozřejmě) bez jeho vědomí. Navíc tím, že spoustu práce přenechá na jiných programech se (dle mého názoru) docela snižují možnosti odhalení jeho nekalé činnosti.

„Heslo k systemu, administratorsky zaujimave udaje neziskate…“
Zatím, ne, ale… Představte si, že takovýto obyčejný program „nějak“ propašujete na cizí, neznámý počítač. Pak už se ty informace zas tak bezvýznamné nezdají. IP a jméno počítače Vám stroj lokalizují v síti. Seznam uživatelů poskytne např. vodítko k pokusům o získání hesla, atd… jakmile prolomí jeden, jediný účet, je už otázkou času kdy zlomí celý systém.

IP adresy a mena strojov zistite uplne jednoducho. Mena ludi sa daju tiez zistit vzdialene a nie je to ziadna utajovana infomacia (napr. z mailov, finger). Heslo mozete rovno hladat pre uzivatela ROOT. Nemusite hladat ziadne ine ;-).

Binarny program je vzdy podozrivy. Co robi u uzivatela. Shell script mozete spustit aj presmerovanim obycajneho textoveho suboru, nehovoriac ze vytvaranie spustitelnych programov moze byt zakazane takze shell script je ovela vyhodnejsi.

Znovu ale – ake informacie ste ziskali? Nic pouzitelne. Nemozete sa dostat k systemovym castiam ktore by narusili chod. Mozete si pokafrat maximalne svoj account. Nemozete spionovat ostatnych uzivatelov. Naviac este stale ste nerozriesili zahadu ako by sa ten program dostal na vas pocitac ak by ste si ho tam sami nedali. Proste NIC. Unixy su ochranene aj proti utokom zvnutra systemu od nahlaseneho uzivatela vdaka dlhorocnej historii multiuzivatelskych systemov.

je mozne reklamovat antivir???

mi napadla taka otazka, pretoze furt pytaju za nejake rocne aktualizacie prachy a furt nevedia riesit svoj soft tak, aby clovek realne nedostal virus, nechcem aby tu niekto zacal s blbostami typu „uzivatel“, pretoze bezny uzivatel sa vobec nezaujima o to, co je virus a veri, ze ked si kupi antivirus, tak virus nedostane…

podla mna by mat microsoft platit vsetky tie antivirove spolocnosti, pretoze nie je chyba uzivatela, ze dostane virus, je zaujimave, ze Linuxaci a Applisti sa nestazuju na virusy a neverim, ze by to bolo tym, zenie su rozsirene, pretoze servery vacsinou ficia na linuxoch alebo unix like systemoch…

Nejde o to ze by virusy neboli len ich administratori nebehaju po internete pod ROOT accountom a neklikaju na kazdu blbost Yes – Continue ktoru na webe najdu.

http://blog.avast.com/2010/02/18/ads-poisoning-%E2%80%93-jsprontexi/

doporučuji k přečtení o aktuálních útocích na netu…

Odporucam si pozriet prednasku Rastislava Tureka (Synopsi)
http://blog.synopsi.com/2010-02-14/podvody-s-platobnymi-kartami-exkurzia-po-svete-internetovej-mafie

3D Secure vobec nie je secure a malo dieru ako hrom viac ako 2 roky!

Ale, ale – asi to bude:
1 – uživatel
2 – tací to věrozvěsti
3 – ho-ada programátoři
4 – pr-sata analytici
…
…
99…9 – aštar pnuštar a síajej s kágébé

a to už je pohááádky konec.

dobrou noc, milé děti

Necenzurovaný životopis Daniela Dočekala zde:

http://exotopedia.org/wiki/Daniel_Do%C4%8Dekal