On 2019-06-29, Robert Tomasik <r...@g...pl> wrote:
> W dniu 27.06.2019 o 11:26, Marcin Debowski pisze:
>
>>> Serwerw w logach przechowuje dane o adresie IP i systemie, z którego się
>>> logowano, a nie fizyczne o komputerze. Jeśli włamanie miało miejsce
>>> kilka dni wcześniej, to na kompie może nie być już danych z logowania i
>>> żaden to dowód, że się nie logowano. Ale nienależące do pokrzywdzonego
>>> IP już dowodem jest. No i pokrzywdzony ,mógł teoretycznie logować się z
>>> zupełnie innego komputera. To po prostu wymaga zbadania po stronie
>>> serwera i należące do pokrzywdzonego urządzenia nie są do niczego
>>> potrzebne, a już na pewno na dłużej.
>> Masz sobie kompa, ma IP=a. Ktoś się włamał na router i w logach tego
>> routera stoi, że logowanie na admina było z IP=a. Co Ci da router bez
>> tego kompa skoro z IP=a loguje sie również osoba uprawniona?
>>
> Po pierwsze mało który domowy router ma jakiekolwiek logi, więc

no widzisz, czyli jednak trzeba komputer :)

> przeważnie nie ma czego badać. Po drugie - teraz skoncentruj się - mało
> prawdopodobne, by włamywacz użył komputera pokrzywdzonego. Pewnie użył
> innego, więc zabezpieczanie tego należącego do pokrzywdzonego sensu
> żadnego nie ma. Równie dobrze mogą Twój zabezpieczyć :-)

Może użył może nie, ale jak już ktoś się upiera aby coś zabrać to lepiej
niech bierze komputer :)

--
Marcin

do góry

W dniu .06.2019 o 12:20 Robert Tomasik <r...@g...pl> pisze:

> W dniu 27.06.2019 o 10:13, Wojciech Bancer pisze:
>
>> Ta strona sprawdza, czy Twój adres email (ten który podasz) znajduje
>> się w jednej z już "wyciekniętych" baz i podaje Ci z jakiej bazy
>> te dane wyciekły i kiedy.
>>
>> Na podstawie dostępnych (m.in. od właścicieli serwisów) i przekazanych
>> im danych. Co chcesz, żeby z takiej strony wyciekło? Bo tam nie trzymają
>> haseł, tylko informacje o wyciekach, a te bazy były/są do
>> kupienia/ściągnięcia
>> na darkwebie.
>>
> Ale strona gromadzi dane o aktywnie obsługiwanych adresach email i
> dzięki temu można je wykorzystać do wysyłania spam-u.

Nie wytłumaczycie "ludziom zajmującym się kiedyś bezpieczeństwem", skoro
ktoś "kiedyś zajmujący się bezpieczeństwem" im powiedział, że ta strona
jest bezpieczna :)

Potencjalny spam to tylko wierzchołek góry lodowej.

Popatrzcie prościej - czy bezpieczne jest konto, którego właściciel
milcząco zakłada, że hasło do konta _musi_ być co pewien czas zmieniane,
że nie wolno stosować tego samego hasła do wielu kont, że hasła muszą być
silne? Bo jeśli tego nie pilnuje, to włamanie może być tylko kwestią czasu.
A to tylko najprostsze założenia (niekoniecznie wszystkie).

Czy równie bezpieczne jest konto, którego "bezpieczeństwo" jest sprawdzane
na "superbezpiecznej" (dziś być może, hehe) stronce, która to karmiona
jest powszechnie dostępnymi w środowisku przestępczym danymi (i tylko
powszechnie dostępnymi, wszystkie dane nigdy nie będą dla niej dostępne)?

I co teraz - "stronka nie wyrzuciła mojego konta jako złamanego, zatem nie
muszę zmieniać hasła".

Udawanie, że da się w jakiś sposób sprawdzić bezpieczeństwo konta w ten
sposób jest bezsensowne.
A przekonywanie, że na tej stronce można to bezpieczeństwo sprawdzić jest
szkodliwe i IMHO kompromituje tak doradzających i broniących takiego
rozwiązania.
Dinozaury to eufemizm!

--
Trefniś

do góry

No ale prok lub pol się wykaże, przed umorzeniem za dwa lata.
W międzyczasie zginie lub się uszkodzi.


-----
> zabezpieczanie tego należącego do pokrzywdzonego sensu żadnego nie ma.

do góry

On 2019-06-29, Trefniś <t...@m...com> wrote:
> Popatrzcie prościej - czy bezpieczne jest konto, którego właściciel
> milcząco zakłada, że hasło do konta _musi_ być co pewien czas zmieniane,

Tak pobocznie wKF, regularne, wymuszane, zbyt częste zmiany haseł to nie
jest na ogół zbyt dobry pomysł.

--
Marcin

do góry

W dniu .06.2019 o 14:07 Marcin Debowski <a...@i...zoho.com> pisze:

> On 2019-06-29, Trefniś <t...@m...com> wrote:
>> Popatrzcie prościej - czy bezpieczne jest konto, którego właściciel
>> milcząco zakłada, że hasło do konta _musi_ być co pewien czas zmieniane,
>
> Tak pobocznie wKF, regularne, wymuszane, zbyt częste zmiany haseł to nie
> jest na ogół zbyt dobry pomysł.

Co oznacza wKF?

Nie mieszaj ludziom w głowach :)

Niebezpiecznik.pl się obudził, obudzili się też "bezpiecznicy" :)

Przeciwskuteczne jest wyłącznie _wymuszanie_ na pracownikach zbyt częstej
zmiany haseł.
Bo prowokuje ich do coraz mniej silnych haseł, powtarzania ich w wielu
miejscach, rotacji haseł - pełna zgoda. Ale to zjawisko zna od zawsze
każdy myślący, czynny administrator - dziwne, że nagle ktoś się budzi (za
Microsoftem, hehe).

Ja piszę - trzeba zmieniać co pewien czas (może być nawet bardzo często -
to przecież samo w sobie nie jest obniżanie bezpieczeństwa!), hasła mają
być silne i nie mogą być identyczne w wielu miejscach. Oczywiście ich
rotowanie to też olbrzymi błąd.

Nic nie stoi na przeszkodzie, żeby uruchomić sobie mechanizm losowego i
automatycznego ustanawiania silnych haseł i zapamiętywania ich w
menadżerze haseł.
Co też jest obarczone pewnym problemem - na przykład "superbezpieczny"
KeePass (Open Source, wielokrotnie sprawdzany) też stuprocentowo
bezpieczny jest na zasadzie wiary.
https://keepass.info/help/kb/sec_issues.html


--
Trefniś

do góry

On 2019-06-29, Robert Tomasik <r...@g...pl> wrote:

[...]

>> Na podstawie dostępnych (m.in. od właścicieli serwisów) i przekazanych
>> im danych. Co chcesz, żeby z takiej strony wyciekło? Bo tam nie trzymają
>> haseł, tylko informacje o wyciekach, a te bazy były/są do kupienia/ściągnięcia
>> na darkwebie.
>
> Ale strona gromadzi dane o aktywnie obsługiwanych adresach email

Nie.

--
Wojciech Bańcer
w...@g...com

do góry

On 2019-06-28, Zbynek Ltd. <s...@p...onet.pl> wrote:

[...]

>> Co chcesz, żeby z takiej strony wyciekło?
> Lista istniejących i używanych ciągle e-maili.

Nie. Coś takiego nie wycieknie. Zgaduj dalej.

--
Wojciech Bańcer
w...@g...com

do góry

W dniu .06.2019 o 17:19 Wojciech Bancer <w...@g...com> pisze:

> On 2019-06-28, Zbynek Ltd. <s...@p...onet.pl> wrote:
>
> [...]
>
>>> Co chcesz, żeby z takiej strony wyciekło?
>> Lista istniejących i używanych ciągle e-maili.

Do tego słabo chronionych przez nieświadomych i specjalistów
"bezpieczników" emerytów (żeby już nie mówić dyletantów).

> Nie. Coś takiego nie wycieknie. Zgaduj dalej.

Udowodnij, że nigdy nie wycieknie :)
Czekam wyłącznie na twarde dowody :)
Tylko nie próbuj antycypować, bo to głupota - zgaduj dlaczego, Wojciechu,
jak nam proponujesz :)

Nawet, co już podlinkowałem, twórca strony ma mądrzejsze podejście:

https://www.vertextech.com.au/2018/06/26/should-i-us
e-have-i-been-pwned-hibps/

"How do I know the site isn't just harvesting searched email addresses?

You don't, but it's not. The site is simply intended to be a free service
for people to assess risk in relation to their account being caught up in
a breach. As with any website, if you're concerned about the intent or
security, don't use it."

Przy okazji, dość zabawną propozycję tzw. "absolutnie bezpiecznych kont
e-mail" ma komercyjny protonmail.com.
Bardzo mocno stawiali to bezpieczeństwo jako wartość podstawową, ale...

https://protonmail.com/blog/apophis-squad-arrest/

Nie będę jawnie krytykował, bo walka z przestępczością co do zasady złem
nie jest.
Ale w jednej jurysdykcji coś jest niezgodne z prawem, a w innej już tak
nie jest.
Na pewno nie jest to poczta dla Snowdena, Assange też by jej nie polubił.

Na pewno nigdy protona nie nazwę bezpieczną pocztą, choć wszyscy tak ją
reklamują i "ma dobrą opinię" wśród bezpieczników.

--
Trefniś

do góry

W dniu 2019-06-29 o 17:19, Wojciech Bancer pisze:
> On 2019-06-28, Zbynek Ltd. <s...@p...onet.pl> wrote:
>
> [...]
>
>>> Co chcesz, żeby z takiej strony wyciekło?
>> Lista istniejących i używanych ciągle e-maili.
>
> Nie. Coś takiego nie wycieknie. Zgaduj dalej.

Aż na 3 grupy dyskusyjne wysłał zamiast zadzwonić na policję i zapytać.


--
animka

do góry

W dniu .06.2019 o 17:16 Wojciech Bancer <w...@g...com> pisze:

> On 2019-06-29, Robert Tomasik <r...@g...pl> wrote:
>
> [...]
>
>>> Na podstawie dostępnych (m.in. od właścicieli serwisów) i przekazanych
>>> im danych. Co chcesz, żeby z takiej strony wyciekło? Bo tam nie
>>> trzymają
>>> haseł, tylko informacje o wyciekach, a te bazy były/są do
>>> kupienia/ściągnięcia
>>> na darkwebie.
>>
>> Ale strona gromadzi dane o aktywnie obsługiwanych adresach email
>
> Nie.
>

Ja rozumiem, że masz niezdrowy sentyment do tej strony, w końcu znajduje
kilka miejsc, skąd twoje konto zostało wykradzione :)

Powtarzam - korzystanie z tego serwisu mija się z celem, a namawianie do
korzystania jest zwyczajnie szkodliwe :)

--
Trefniś

do góry