Виж темата - Как да стана програмист?

[steeN Профил]

Не знаех, че работите за Пентагона, щях да ви предложа други решения

[madafaka_donkele Профил]

Мчи къ всичко по ISO

[alx Профил ICQ]

https://techcrunch.com/2019/10/21/nordvpn-confirms-it-was-hacked/

Не ме разбра. Какво значи да ги хакнат? Хубаво- откраднали им сертификат и лошите могат да подкарат фалшиви ВПН сървъри за които ти да се закачиш по някаква схема ако си клиент на норд ВПН. И ... ? То хубаво тунела е компрометиран ама нали в него върви твоя си пойнт-то-пойнт енкрипшън...

Мисли го така- всяка система която се вижда през интернета или говори тлс или някаква проприетари енкрипшън. Затова че е някой слуша интернет или ВПН трафика е без значение. Аз лично нямам никакви скрупули да банкирам онлайн дори през публичен уайфи без парола където всичкия трафик се вижда от всички

[steeN Профил]

Само тоз bmwpower няма толкоз години да му сложат един TLS най-накрая Има безплатни сертификати дори вече.

[Dextuar Профил]

Аз лично нямам никакви скрупули да банкирам онлайн дори през публичен уайфи без парола където всичкия трафик се вижда от всички

И сега ако кажеж и че не те бърка да го правиш на порт 80, вече съвсем ще ни впечатлиш


Sent from my iPhone using Tapatalk

[madafaka_donkele Профил]

Аз си казах, че съм "малко" параноик на тема security. Наясно съм, че колкото и да е як протокола и стандарта все пак е мислен от человек и като такива няма нехакваеми системи, енкрипшъни и т.н. Работил съм в на хартия сериозни места, където сигурността се очаква да е top notch, но на практика беше по-зле от квартален интернет клуб. Винаги съм успявал да намеря уязвимости(при все, че не съм CISO, CEH сертифициран и т.н., просто ми е интересна материята) и съответно височайшия мениджмънт винаги е пренебрегвал препоръките ми и съответно винаги е имало изцепки, в някои случаи доста сериозни. Та вяра нямам на ничия система. AES още кога го пробиха, TLS-ите всяка година-две нова версия, щото все ще се намери някой изрУд да пробие текущата с назобен, модифициран Bleichenbacher, даунгрейд до 1.2 или някакви други изчанчени методи. А съвременните хакери са възможно най-опасния вид евър. Eat, sleep, breathe само пролуки и ескплойти са им в главата. Вдигнаха прекалено много левъла и нямат стигане, всеки следващ вид атаки са все по-advanced и по-advanced. Ей ги спектъра и мелтдауна, вече заеб@ха софтуерното ниво и слязоха на хардуерно с цел елиминиране на user interaction-a. Наскоро бях чел за някакви изроди атакуващи директно BIOS-а След някоя и друга година изобщо няма да се разчита овцата в офиса да кликне на вирусчето в прикачени Директно те набелязват и си чао...то не, че и сега не е така де

[Bogat-Beden Профил Уеб-сайт]

cmd.png

Това е от на колега, който си влиза спокойно

[steeN Профил]

Давай с VPN-a и не се чуди. Най-вероятно някакъв firewall от тяхна страна те блокира и хората, с които си говорил изобщо не знаят къде се намират. Другия вариант ISP-то ти да филтрира порта/протокола, който ти трябва. Нито знаем какво ползваш, нито от къде се свързваш и това е най-лесното решение... щото няма как да те направим мрежов специалист през форума да го диагностицираш.

...

Точно на тази тема не бих спорил с него

Наскоро бях чел за някакви изроди атакуващи директно BIOS-а :shock

По-старите от нас помнят един вирус, който се активира за първи път на годишнината от Чернобил... края на 90те, не съм сигурен за годината вече 99та да е било... и ти триеше... БИОС–а
После ходиш с ЕЕПРОМ-а да ти го програмират на ново

[alx Профил ICQ]

Та вяра нямам на ничия система. AES още кога го пробиха, TLS-ите всяка година-две нова версия, щото все ще се намери някой изрУд да пробие текущата с назобен, модифициран Bleichenbacher, даунгрейд до 1.2 или някакви други изчанчени методи. А съвременните хакери са възможно най-опасния вид евър. Eat, sleep, breathe само пролуки и ескплойти са им в главата. Вдигнаха прекалено много левъла и нямат стигане, всеки следващ вид атаки са все по-advanced и по-advanced.

Както казва президента на една компания по киберсигурност- paranoia is goooood разбирам те.

... обаче мога съвсем отговорно да ти заявя, че в реалния сват при реални условия (не теоретични или нагласени лабораторни) дори най- първите версии на ssl не са пробити. Да не говориме за тлс и т.н. Разбира се всеки алгоритъм си има своите недостатъци и като се наредят планетите може да разкодираш определена комуникация между определен клиент/ сървър. Също така има проблеми в реализацията- един вид алгоритъма може да е добър, но този дето е писал стак-а може да си е оставил пръстите- я в обмяната на ключовете, я в ентропията на създаване на ключовете и солта.

Та... не вярвай много на публикациите- те са за такива като тебе (и мене) да не сме безработни и да има какво да правиме и кого и за какво да гониме

[madafaka_donkele Профил]

И сега ако кажеж и че не те бърка да го правиш на порт 80

Въй, е те тва, ако го видя някоя банка да си пусне банкирането на 80, вместо 443 ще е върха на простотията просто, ще задминем и индусите по тъпотия

cmd.png

Това е от на колега, който си влиза спокойно

Освен да минеш на виваком и ти Резултатите му на твоя колега и твоя с ментел бисквитката са доста идентични и поне на хартия би трябвало да ги достъпваш с ментелския нет.

По-старите от нас помнят един вирус, който се активира за първи път на годишнината от Чернобил... края на 90те, не съм сигурен за годината вече 99та да е било... и ти триеше... БИОС–а
После ходиш с ЕЕПРОМ-а да ти го програмират на ново

Е за тази разлика говорех, като казах, че сега са по-опасни. Преди се е правело да се счупи, да се извади нещото от строя, DoS/DDoS и сие. Сега се влиза безшумно, слухти се с месеци и общо взето целта в момента е финансови облаги, дали директни дали използвайки някакъв leverage няма значение.

[steeN Профил]

Мисля, че имам някакъв поглед за нещата през годините и не мисля, че е така. Не знам къде го бях прочел, но ми хареса като описание, че сега има Интернет и дарк уеб... 90те целия Интернет беше дарк уеб Само милионите от крадени кредтни карти, които са превъртяни... Според мен нещата сега са много много по-цивилизовани, но броя на компютърните системи от тогава е нараснал драстично и има повече неща изложени на атака.

[alx Профил ICQ]

Въй, е те тва, ако го видя някоя банка да си пусне банкирането на 80, вместо 443 ще е върха на простотията просто, ще задминем и индусите по тъпотия

много сигурни сайтове (на банки и тн) си държат порт 80 отворен .. просто в отговора вдигат hsts флага и форуард-ват запитването на 443 или там на които порт говорят хттпс...

[madafaka_donkele Профил]

много сигурни сайтове (на банки и тн) си държат порт 80 отворен

В смисъл повечето хостинги така или иначе си предлагат безплатни сертификати, а и да го хостват on-prem или в облака един EV сертификат ти е 200-300лв. на година. Не виждам къде е драмата, че да се буташ насила между шамарите, да си търсиш белята дето се казва

[alx Профил ICQ]

много сигурни сайтове (на банки и тн) си държат порт 80 отворен

В смисъл повечето хостинги така или иначе си предлагат безплатни сертификати, а и да го хостват on-prem или в облака един EV сертификат ти е 200-300лв. на година. Не виждам къде е драмата, че да се буташ насила между шамарите, да си търсиш белята дето се казва

той порта е отворен защото като напишеш в браузера "ввв.банк.цом" и ако не си ходил там преди се приземяваш на порт 80 щото браузера знае, че дифоут порт-а за уеб сайтове е тцп 80... и от там сървъра ти връща отговор "верния адрес, ама ето ти един флаг да говориш от тук нататък само ссл/ тлс и отивай на порт 443 (или там които им е ссл/тлс порт-а).".... иначе ако го нямаше този механизм трябва да пишеш "ввв.банк.цом:443" - нещо от което повечето хора ще се объркат

[madafaka_donkele Профил]

той порта е отворен защото като напишеш в браузера "ввв.банк.цом" и ако не си ходил там преди се приземяваш на порт 80 щото браузера знае, че дифоут порт-а за уеб сайтове е тцп 80... и от там сървъра ти връща отговор "верния адрес, ама ето ти един флаг да говориш от тук нататък само ссл/ тлс и отивай на порт 443 (или там които им е ссл/тлс порт-а).".... иначе ако го нямаше този механизм трябва да пишеш "ввв.банк.цом:443" - нещо от което повечето хора ще се объркат

E, тва е друго, описал си стандартен permanent/301 redirect, лузъра като напише abc.com да го насочва към https://abc.com например, 443 никой никога не пише, само се слага https(443) отпред, вместо http(80). Ако това си имал предвид, като каза, че държат порт 80 отворен тва е друго, разбрах ти мисълта, ама за различни неща говорим