Názory k článku BackTrack, Kali Linux a zkouška phishingu

Toto nemohlo vzniknut za podpory CSIRT tymu ceske republiky... lebo ak ano tak by som sa o bezpecnost v CZ obaval ... ;-(

Ono to docela přesně odráží situaci s CSIRT týmy. O bezpečnost v CZ bych neobával. Čeho bych se ovšem obával jsou CSIRT týmy, které se nudí, nemají do čeho píchnout a přitom potřebují vykazovat činnost a prezentovat svou důležitost.

Ahoj všem,
tak nevím, jestli takové články rád vidím. Asi jsou neškodné, protože chudák co to potřebuje v češtině, bude bezzubý :o), ale i tak. Nebyly by lepší články z druhé strany bariéry, tedy jak podobné techniky nepřipustit, logovat, odhalit a eliminovat?
Nebo něco k problematice nového kybernetického zákona, nebo tak?
Nic proti článku jako takovému, povedený kousek, ale jeho účel mi uniká. A nebo neuniká a nelíbí se mi.
Pěkné svátky všem.

Chudák, který podle toho bude postupovat, jako podle návodu, bude dopaden.
Nemyslím, že by mělo být úkolem admina vytvářet prostředí ve kterém mohou uživatelé dělat bez rozmyslu cokoliv(a že je to občas na odebrání občanky). Občas jim do toho namočit čumák a ukázat, do jaké žumpy se mohou dostat je za roky vysvětlování.

Když mi kdysi jedna osoba poslala mail, že dostala od X zprávu Y tvrdící nesmysl a že je to tak, protože X tomu rozumí a jako odesilatel byl X(samozřejmě nic takového neposlal), Dostala dotyčná osoba zprávu sama od sebe, ve které o sobě tvrdila neuvěřitelné věci. Po této konfrontaci s realitou rychle došlo k prozření. Když si po nějaké době ověřovala jiným kanálem, jestli jsem zprávu Z psal opravdu já měl jsem dobrý pocit.

Poznej svého nepřítele. Nejprve musím vědět jak se to dělá, pak se můžu bránit. Naznačení vektorů útoku je také mimořádně užitečné pro obranu. Já jsem za článek rád. Jen tak dál!

Takže navrhuješ, že by se nesmělo psát o tom jak zloději vykrádají byty, aby to náhodou někoho nenapadlo také zkusit?

Mozem jebat takovy csirt. Z ceho jste placeni? Statni penize? LOOOL? Jaktoze ja mam stale co delat a to jsem ve stejnem odvetvi a vy si v klidu pisete clanky, ucite lidi sracky a pridavate mi praci? Jeste ze v CR nebydlim... Fuck yea!

Také jsem rád, že tu nebydlíte.

Těžká práce. Jen vymyslíš podfuk, někdo přijde, napíše článek a kavky utečou. :-)
A takovou to dalo práci je ukolébat že jsou v bezpečí a všechno je v pořádku.

V diskuzi se Slovákem je vždy dobré prohodit:
"ho sestřelíme jak Štefánika"

Pekny clanek, dekuju za nej. Skoda, ze ho nezverejnil nejaky masivne navstevovany server - uzivatele by si meli uvedomit rizika a kontrolovat, co delaji.

Rad bych priste videl i popis, jak nekdo naklonoval stranku banky a nasledne zavolal uzivateli telefonem, ze si ma do telefonu nainstalovat xxx.
Dokud se to nekomu osobne nestane, tak tomu neveri.

Mozna by byl jeste lepsi clanek s vhodnyma tipama jak nekomu vykrast chatu, byt, nebo sklep.

Trosku me zarazi forma tech clanku a i to, ze clanky jsou vyrabeny pod taktovkou CZ.NIC a NIX.CZ.

Cekal bych spise osvetovou formu detailne objasnujici podstatu problemu, kde pripadne ukazky utoku mohou poslouzit jako dobry prostredek pro zatraktivneni tematu a zjednoduseni dalsiho vykladu. Takto je to pojato v duchu "Nejsnadneji se napakujete podvodnym jednanim v domove duchodcu, a to nasledujicim postupem... . Ale pozor muze to byt v rozporu se zakonem.".

Security by obscurity :-(

s tim rozhodne nesouhlasim. Je treba znat nebezpeci, aby se proti nim mohl clovek branit. Ostatne clanek nerekl nic prekvapiveho, kdo chce si navody vzdy najde.

S druhou casti komentare souhlasim.

O tech vecech se bezpochyby hovorit ma - v tom urcite neni rozpor. Take nesouhlasim s nametanim bezpecnostnich problemu pod koberec a predstiranim ze neexistujou, protoze pak to ma daleko horsi dusledky. Co je hodne divne je forma tech clanku. Je prece rozdil jestli je clanek formulovan v duchu:

"Zlodeji kol pracuji hlavne v nehlidanych mistech a pro odstraneni prekazky pouzivaji zmrazeni zamku. Ze zkusenosti vime, ze si oblibili snadno dostupnou latku XY. Zcizeni je takto zelzitost 2 minut.".

nebo:

"Kolo nejlepe ukradete/poridite tak, ze si najdete temne nehlidane misto. Pokud ma zamek, tak jej odstrante zmrazenim prostrednictvim latky XY. Kdyz jste hodne sikovni mate to hotove za 2 minuty. Uzpornujeme, ze kradeni kol je v rozporu se zakonem ABC".

Musite uznat, ze druha varianta, byt obsahove stejna, tak preci jen vyzniva trochu jinak. Zejmena pak, pokud by byla publikovana pod zastitou MP nebo PCR.

Ale právě ta druhá varianta je účinnější. Soused v paneláku před pár roky zvonil na sousedy, že chce zkusit "bumping". Polovinu bytů co zkusil tím otevřel on i jeho 5letá dcera. Samozřejmě, že jsme o tom všichni slyšeli už dřív v televizi, ale teprve po téhle scénce si pár sousedů pořídilo nové zámky. Přeci jen pětileté dítě otevírající dveře během půl minuty bylo dost děsivé. Nejsilnější byla reakce "a to si vůbec tyhle vložky někdo dovolí prodávat?" S počítači je to stejné, dokud si to lidé sami nezkusí, tak neuvěří, že je něco až tak jednoduché. Proto je ten návod ta nejlepší osvěta.

Tak tady máte návod na vykradení chaty:

1. Vemte za kliku, občas lidé zapomínají zamknout.
2. Koukněte se pod rohožku, lidé tam občas nechávají klíč.
3. Koukněte se kolem po květináčích a podívejte se pod ně, lidé tam občas nechávají klíč.
4. Pokud nic nezabralo, zkuste jinou chatu.

Návod je to velmi podrobný a svého času byl i velmi účinný. Teprve když vešel ve všeobecnou známost, tak lidé zvolili jinou metodu zabezpečení než zamknout a klíč strčit pod rohožku.

Žijeme zkrátka v době, kdy můžete lidem stokrát říkat, že to nemají dělat. Ale oni vám to uvěří jen na půl - tedy že ano, že by to asi problém byl, ale obyčejnému útoku to odolá a profesionálovi by to stejně nezabránilo. Teprve když jim ukážete, že to je opravdu tak triviální, že i oni to zvládnou, tak teprve pak uvěří, že to problém je. Do té doby budou vrtět hlavou a tvrdit, že jasně, že klíč pod rohožkou není moc bezpečný, ale že zloděje přece nenapadne se pod rohožku podívat.

Přeji hezký den

jo, přesně.
od článku na rootu bych čekal spíš analýzu, než how-to, navíc how-to v podstatě pro script-kiddies. nevysvětluje moc principy, neanalyzuje např. rozšířenost útoku, příklady nejúspějšnějších aplikací, příklady nejsofistikova­nějších podob útoku, statistiky zdrojových ip, nebo analýzu právní klasifikace útoku. všechno směřuje ke kuchařce pro blbé.
je-li text skutečně míněnej pro "mírně počítačově gramotné" publikum, nechápu, proč se soustředí na útok a podceňuje tolik obranu -- ta se odbyde jedním odstavečkem, který z praktičnosti a návodnosti popisu útoku nemá vůbec nic, a bejt bfu, asi se z ní moc nepoučím. jestli zadávám login a heslo do "originální stránky" není zase tak triviální check. proč dává větší návod na to, jak podvrženej mail poslat, než jak ho poznat?

jistě, jako vždycky platí, že lepší než drátem do oka a "jestli se ti tohle nelíbí, napiš jinej, lepší článek, podle svejch představ." ale proč root chce vychovávat script-kiddies, to fakt nechápu.

To jsou mi články ... příště prosím návod, jak na internetu vybrat a koupit bump key a otevřít FABku, která je na dveřích od serverovny, pokud možno s videem.

Pro budoucí kriminálníky má návod stejnou hodnotu jako:
Když chcete vyloupit trezor, jděte na nejbližší služebnu policie. Tam požádejte policistu, aby vám půjčil zabavené kasařské náčiní. Až tak učiní, strčte ho pod kabát a po jedné noze odskákejte. Pokud jsi kriminalista a máš sebou potřebné papíry, můžeš ho použít.

Pak ovšem někdo napíše, že je to návod pro kriminálníky. :-D

dx.com, fungují prakticky všechny
www.youtube.com

Chcete v někom budit dojem, že je to těžké? Proč?