Názory k článku Postřehy z bezpečnosti: kyberzločin nezná dovolenou

„případně pak o prvotní metodě generování autorizačního SMS kódu“

Neslyšel a nic jsem nenašel, byl by odkaz? Btw. většina bank stále posílá SMS s kódem nešifrované (jako normální SMS).

„root se nesmí přihlásit na SSH (jen uživatelem přes sudo)“

To je jedna z nejdebilnějších ochran proti bruteforce. Když zconcatenatujete jméno uživatele a současné heslo roota, uděláte toho pro bezpečnost stejně a nebudete mít problémy třeba s kopírováním souborů.

„a věděli by, že jednou z možných cest je použití HTTPS s PFS“

No tak kromě vydání soukromého klíče přidají do zákona ještě povinnost uchovávat prchlivé (když už jsou tady ti jazykoví puritáni) klíče.

jj, prezident Zeman je homosexual! Teda, ne ze bych mel ve zvyku rikat neco, co si nelze overit, bohuzel, muj zdroj neni verejny... teplej ale fakt je!

Aha, pravda je jen to co je verejne publikovane.. Tak to jo ;)

tady nejde ani tak o pravdivost, ale spis o duveryhodnost a ta IMO neni o moc vetsi, nez duveryhodnost meho tvrzeni, ze je prezident Zeman homosexual.

„zakazani prihlaseni roota je velice ucinne, protoze utocnik zkousi vetsinou jen hadat heslo na roota. Nezna ostatni usery (muze jen tipovat slovnikem)“

Ano, stejně, jako může tipovat slovníkem heslo na roota.

„HTTPS s PFS, odchytavat to jde dost spatne a na vetsine zarizeni to ani nepujde technologicky (nebudou pro to proste nastroje)“

Se nařídí zákonem.

„kdyz neznate jmeno uzivatele, tak je preci slozitejsi louskat heslo“

Asi tak stejně složité, jako louskat heslo "původní_heslo+jmé­no_uživatele"?

„navic root by se za normalnich okolnosti nemel do systemu hlasit nikdy“

Co jsou normální okolnosti? Já třeba na serverech většinou pracuji jako root, protože je spravuji.

To je jedna z nejdebilnějších ochran proti bruteforce. Když zconcatenatujete jméno uživatele a současné heslo roota, uděláte toho pro bezpečnost stejně a nebudete mít problémy třeba s kopírováním souborů.

Kolikrat se budete jeste omilat tahle demagogie, ze bezpecnost == 'delka & slozitost hesla' ? Jednak se uz v historii opakovane stalo, ze byl cracknut proces autentizace, dokonce i u SSH, jednak realita je proste takova, ze automatizovane pokusy o prunik jdou na ucet roota a obsluhovani takovych pokusu _je_ zbytecna rezie, ktera zatezuje server. Individualne cileny utok je samozrejme jina pisnicka, ale i tady je to o daleko podstatnejsich opatrenich nez 'delku hesla roota zvysime o jeden znak'.

OMFG. Tak za prvé, psal jsem, že jde o debilní ochranu proti bruteforce. Že to může pomoct proti jiným útokům nepopírám.

Za druhé, o kolik méně server zatěžuje, když někdo zkusí heslo na roota a root je zakázaný? SSH handshake, tedy tu nejnákladnější část, musel provést stejně.

"U nás se toto děje úplně stejně (jen jde o jiná “tři písmenka”) a nikdo se nad tím výrazněji nepozastavuje. Už když máte více než 1000 zákazníků, tak jste pro ně zajímavý, ale je pravdou, že jakožto malý poskytovatel máte většinou možnost odmítnout. Velcí už ne."

Bolo by mozne napisat viac informaci k tejto problematike ?

Tohle asi dost prumernych ridicu vydesi, ale osobne to povazuji za hodne spatnou novinku.

Mluvime o situaci, kdy 'utocnik' ma fyzicky pristup k OBDII portu, ktery je vetsinou umisteny v prostoru rucni brzdy, nebo pod volantem.

To pak muzeme rict, ze utocnik vam muze restartovat server, odpojit sit a nebo v nejhorsim pripade nechat cely server prehrat, kdyz prelepi ventilacni otvory ... pokud ovsem se k tomu serveru dostane.

Pokud ma nekdo plny pristup do meho auta, tak je pritomnost OBD rozhrani naprosto irelevantni. Bez urazky, ale s trochou hardwarove prace na hlavnim kabelovem svazku (tam mame vyresene i napajeni) muzete vyvadet kousky o kterych se i ECU jednotce muze jen zdat (Pravda, na teto strane komunikace jednotky bohuzel nezamavate ridici palivovou rucickou).

myslim ze docela dost ridicu kteri se aspon minimalne o auta zajimaji, tak maji permanentne pripojeny obd-2 bluetooth modul, zacina to na cene 200 kc.vetsina se se paruje pres 1234 nebo 0000.