@JOHN i ja smo zatrpali vikalicu diskusijom o hakerskim upadima i informacijskoj sigurnosti. Držim da je tema zanimljiva i širem krugu, pouzdano znam da je na tu temu jako puno neznanja i zabluda, čak i među onima koji se smatraju stručnjacima pa mi je nekako žao da temu ne nastavimo tu, gdje će diskusija ostati i zapamćena, a možda i bolje zamijećena.

Nažalost, početak diskusije je s Vikalice već "iscurio" u zaborav. U nastavku citiram ono što je još tamo i odmah dajem svoje odgovore na to...



E, sad, ovaj niz je dosta paušalno nabrojan. Otkud bankarski sustav u njemu? Ti znaš za neki ozbiljan proboj sigurnosti bankarskih sustava kod nas ili općenito u EU? Ja ne znam. Znam da ih je bilo dosta u USA. Zato što oni inzistiraju i dalje koristiti statičke passworde jer su im klijenti prekomotni da prihvate neki viši stupanj zaštite.

Što se tiče telekoma, također, ne znam da im je netko probio vitalne dijelove IS-a (billing, core...). Ti znaš?

CIA - to je obavještajna organizacija. Špijunira druge i glavna je meta za špijuniranje milijuna drugih. Last 10 inches, dovoljno novca, dovoljno vremena, razni oblici ucjena, indoktrinacije... Obavještajnim organizacijama cure tajni podaci uvijek i oduvijek. Oni nisu mjerilo ničega.

MUP - nemam nikakve konkretne podatke. Opet - ti si čuo da im je netko nešto ozbiljno probio? Ako jest, ne bi me čudilo, s obzirom da su obveznik javne nabave...



"ili što već"?
Kako si tako siguran da je nitko nije mogao snimiti?

1. Tvoj vlastiti komp NIKADNIKADNIKAD u životu ama baš NI NA JEDNU JBN MINUTU nije koristio nitko drugi? Ne koristio. Nije mu nitko mogao prići ni koristiti ga dok si išao u WC na malu nuždu? Ako jest, kako si tako 100% siguran da ti nije instalirao keylogger?

2. NIKADNIKADNIKADNIKAD ali baš ono JEBOTE NI JEDAN JEDINI PUT U ŽIVOTU se nisi spojio nigdje ni na koji besplatni wifi, u nekom kafiću, kinu, na Petrolu, Croduxu, u trgovačkom centru...? Ako jesi, a na mobu imaš podešen gmail account, tvoj mail app s mobitela password za logon šalje u cleartextu. Ne trebaš biti nikakav doktor hakeraja za to pokupiti. Samo trebaš znati na netu naći i instalirati aplikaciju koja snifa i skuplja po wifiju takve podatke. Oni koji su ozbiljno zlonamjerni poklanjaju klincima takve aplikacije badava da se ovi s njima zajebavaju i ne znajući da one sve što posnifaju - uploadaju natrag "gazdama".

3. Nikad, baš nikad se nisi spojio na svoj gmail preko web browsera s nečijeg tuđeg kompa? Iz internet caffea, iz neke druge firme gdje si bio poslovno, s nečijeg tableta...?

4. Password za gmail koristiš SAMO za gmail? Ili isti password koristiš za još 330 glupih beskorisnih web accounta koji ne služe ničem nego da skupljaju passworde blentavih korisnika koji za sve potrebe koriste jedan te isti password?



I ovo je isto dio problema. Password kojeg ne možeš zapamtiti je najveći problem, jer ga imaš negdje zapisanog. A koliko je siguran taj repozitorij? Tko sve može do njega?




Da povučem opet paralelu s građevinom - ne može mi kiša ništa, složio sam si krov od recikliranog toalet-papira!

Tzv. "anti" virusi su najgori malware danas uopće.



Sumnjam. Nije da ne bi mogli oni postići da ti netko provali. Ali nemaju računice da se time bave.



Obavezno prijavu. I uz nju attachiraj par grama soli, da mu stave na rep.

Ako inzistiraš na nečem besplatnom, preporučam zoho.com, jer imaju najkorektniju EULA-u od svih besplatnih servisa. Ako se odlučiš plaćati (podupirem Ribinu tezu - ako ti je važno, besplatna rješenja sigurno nisu opcija), opet preporučam zoho.com.



Uh, što bi ti time naudili... Ako ti ugase account, plati im pivu i proslavi s društvom!



Nije baš jednostavno automatski filtrirati physhing i spam mailove, a da pri tom ne pometeš i poneki koji nisi trebao. Čuj, niti dobar dio korisnika danas više nije siguran kad mu dođe takvo što - da li je to nešto autentično ili je smeće. Zašto misliš da bi računalni AI morao biti tako dobar da zna bolje to procijeniti od 60% korisnika?



Naravno! Pa to i jest svrha i namjera takvih mailova!



Eeeee... Točno. Samo, imam osjećaš kako ti misliš da je to lako...



Kako rekoh, KV slastičari...



Link je neispravan. Možeš ponoviti?



P. S.

HRN4you gledam normalno na Mac OS, ne koristim Windows u virtualki. Zašto bih? Flash je uredno podržan na Mac OS X. Samo na iOSu nije. Koristim Flash Player plugin za FireFox.

A jesi ga sad nanizao u nedogled.

Zanima me nešto oko keylogger_a. Možda je smayoo samo naveo primjer gdje ti ga netko instalira na računalo fizički dok si ti bio odsutan. Mislim da se to sranje može instalirati i preko mreže, da ti netko upakira s nekakvom slikom u .png ili nekom drugom ekstenzijom, ili griješim ?

Inače dobro je da je smayoo od ove prepiske na vikalici otvorio temu. Ovakvih tema o sigurnosti računala nemože biti previše.

U nedogled? Teško.

Zanimljivo je vidjeti reakciju krajnjih korisnika na zaštitu podataka i paranoju koja je zavladala od svih silnih virusa i antivirusa i najboljih rješenja za zaštitu od kojekakvih prijetnji. Recimo fenomenalno je koliko ljudi koristi nešto Googleovo a ni ne zna koliko podataka otkriva i/ili koliko je jednostavno doći do njih.

John, probaj zafrkancije radi otvoriti dva mail accounta na google-u, jednog npr. Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript a drugog Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript . I onda pošalji neki mail na peroperic i vidi da li će isti doći i do peroperic.1

E sad zamisli da netko zna tvoju mail adresu i kaže zaboravio sam password i dobije reset link... (a čak i ne mora, dovoljno je da ti čita mailove i socijalnim inžinjeringom ti posrče navike i onda ti nekom drugom metodom dođe do potrebnog)

OK, google je uveo 2 factor autentikaciju ali...

Što se tiče MUP-a i sigurnosti... oni imaju problem s fizičkom (slučaj nestanka zlata u ZG?), a gdje neće u IT... ne zato jer ne znaju ili ne žele znati nego jer takve stvari uglavnom traže lovu za opremu i edukaciju koje rijetko ili gotovo nikako ima.

Anonimnosti online - nema. Stvar je samo volje, želje i vrijednosti podataka koji ti trebaju, je li isplativo skupljati ih.

A od kud ti znas kakvo je stanje u MUP-u? Kakvo je stanje u njihovom IT-u? Nemas blage veze skupa s vecinom nas. Najveca prijetnja sigurnosti je sam korisnik.

zabac kaže:


Jesi ti bio nedavno u MUP-u i vidio po šalterima Mice-ubice?

Za ovaj drugi dio se slažem.

Na prvo pitanje ću se pozvati na joker zovi... šteta što je Miočić umro...

Ma, nisam htio i ne bih htio da tema skrene u komentiranje sigurnosnih propusta u bilo kojoj firmi ili instituciji, a pogotovo skrećem korisnicima pažnju da iznošenjem takvih informacija (a kojima izvor nije neki medij javnog informiranja) do kojih su došli kao pružatelji usluga ili kao zaposlenici u takvim sustavima - narušavaju odnos povjerenja prema svom klijentu/poslodavcu, vjerojatno krše odredbe ugovora, a moguće i čine neko kazneno djelo.

Uvidio sam u Johnovim stavovima cijeli niz "školskih primjera" zabluda na temu sigurnosti koje vrlo često susrećem i htio sam upravo na to usmjeriti pažnju.

Ovo s bankama i operaterima sam u nekoliko navrata u kratkim crtama čitao po netu, tako da o tome ne mogu diskutirati. O CIA i MUP također, isto samo čitao.

No sve ostavlja dojam neozbiljnosti u sigurnost sustava jednih, drugih i trećih. Ako već postoji toliko informatičara tvog kalibra (kako se predstavljaš) ili daleko boljeg, gdje je onda problem da se te stvari stave pod kontrolu?!?! Pa nisi/niste valjda toliko skuplji od ovih koji im održavaju sustav "stabilnim i sigurnim"?

1. Za moje računalo sjedam samo ja ili ako netko za njega sjedne onda sam mu ja iza leđa jer nešto komentiramo s ekrana. Dakle nitko NIKAD bez moje prisutnosti. Nas je u firmi 7-ero, ako odem na WC netko od kolega naravno da može zasjest. Ured je otvorenog tipa i zna se da se za moje računalo ne smije sjest niti na sekundu. Direktor (vlasnik firme) zna da ne smije sjest za moj komp, tako da toliko o tome tko sjeda za moj komp. Ja sam taj koji sa svojim skromnim znanjem održavam našu lokalnu mrežu (nekoliko PC-a i printera) da za naše potrebe zadovoljavajuće funkcionira (mada sam u više navrata predlagao da za to imamo podršku-uslugu izvana).

2. Naravno da jesam, no uglavnom u situacijama gdje nema praktički 3G signala ili ako nisam u HR. Uglavnom, gotovo nikada.
E sada, imam podešen gmail preko mail aplikacije koja dolazi u paketu s IOS-om. Kak mi netko to može snimit preko tih sniferskih aplikacija i tom metodologijom koju spominješ? Koji k.... onda služe šifre kod prvog logiranja? Te aplikacije i operativni sustav u Apple-u isto rade KV konobari?

3. Ama baš NIKAD.

4. Ti mene baš smatraš blentom?
Do lozinki jednostavno ne može nitko.

Jbg, neki antivirus moram imat. Reci mi jedan dobar opravdani razlog zašto ga ne bi trebao imati na windowsima? Situacija je takva da se od windowsa ne mogu maknuti (uglavnom zbog posla, privatno bi mogao).

Pa ipak na gmail-u imam neke stvari(dopisivanja, pdf-ovi) koje su mi bitni, dobro dođe ako se dogodi da negdje moram posegnut za nekim pdf-om. iBooks mi je ne tako davno bila lekcija da to nije sigurno mjesto za posegnuti (sadržaj ne odlazi u backup ajfona....retardirano do boli)

Prigovor gmail-u bi išao u takvom smjeru da ih pošaljem u k...., pa u 3pm itd. pa nek brišu account ako im je volja. Sigurno ne bi očekivao da će moju špotanciju shvatit kao temu za dnevnu raspravu (opet stječem dojam da me smatraš blentom )

Boli me ona stvar.....nek smisle način kako će ih filtrirati. Danas smo dobili mail od telekoma. Sutra ću copy-paste, pa komentiraj svoje stručne kolege.

Kako misliš da mislim da je lako? Sve se može ako se želi, samo je pitanje dali se želi. Meni više izgleda da se ne želi nego što se želi. A zašto? Pa šta bi onda informatičari radili u tom području. Baš kao farmaceuti i ekipe oko njih. Šta bi oni radili i zaradili kad bi svi bili zdravi? Jel tako? Ili sam opet ispao blento?

Dakle mene kao krajnjeg korisnika zanima samo da stvari funkcioniraju kako bi trebale, a ne zanimaju me razlozi(netko nas je hakirao, pao nam je sustav jer nas netko fila sa podacima itd.) zašto ne funkcionira. Ista stvar i s mailom na ajfonu, ako stvari ne funkcioniraju kako treba jer mi netko snifa uređaj preko wifi, onda je to meni nepouzdan sustav i poručujem svakom ovako......de se pajdo okani posla ako ga nisi sposoban odraditi/održavati kako treba.

I sad recimo neki scenarij. Neki bitni sustav je u grubo rečeno automatiziran te ima mogućnost daljinskog upravljanja te ima implementiranu svu potrebnu silu(kakvu god terminologiju koristite) da blokira bilo kakav neželjeni pristup izvana. Dali je moguć scenarij da takav implementirani sustav ima slabe karike koje se mogu iskorisiti da se preuzme kontrola nad tim sustavom na neko duže/kraće vrijeme? Dali su neki sustavi iz tih razloga izuzeti iz upravljanja izvana? Recimo elektrane ili što mi je više interesantno....potpune automatizacije nad svim električnim funkcijama u kući i mogućem daljinskom upravljanju.
Pod pretpostavkom da to nisu radili KV konobari.
Volio bi da me prosvijetlite po tom pitanju, možda čitam previše sranja koja ispadaju iz tekstova ljudi koji nemaju veze sa stvarnošću. Nisam IT-ovac pa eto, budite nježniji barem od smayee. I probajte koristit terminologiju koja je donekle shvatljiva.

Ono sto je jako bitno sigurno nema samo sustav daljinskog upravljanja, vec trazi ljudsku prisztnost (i Mujo je trebao biti prisutan kako bi nahranio svinje).
Apsolutna sigurnost ne postoji. Treba nauciti zivjeti s njom.

JOHN kaže:


Gdje je problem... pa to ti cijelo vrijeme pokušavam objasniti, ali tvrd si, brate, ko svaki građevinac.

NEMA STRUKOVNE KOMORE KOJA NEKOM DAJE OVLAST DA SE BAVI TIM POSLOM. Pa onda svaki KV slastičar s "diplomom" privatne "škole" za informatičke superstručnjake ispada jednako vrijedan kao i netko tko zaista zna znanje.



Zašto ne bili? Reci - da li bi ti radio taj posao koji radiš za 4500 kn mjesečno, ali da se moraš javit na mobitel usred noći, kad god neki kreten ne zna izvadit zgužvani papir iz printera?

... ...

Fakat... brutalna zaštita!



Razborito si to tražio, mada ti ni outsource informatičar ne bi nužno odradio bolji posao (vidi pod "KV slastičar")



Jednom je dovoljno, a svaki idući put povećava vjerojatnost.



Ne zamjeri, ali jednostavno nemaš ni približno dovoljno predznanja da ti to krenem u tančine objašnjavati. Šifra kod prvog logiranja je sasvim nešto drugo. Ona samo služi kao potvrda identiteta.

Imap protokol gmail ima tako implementiran da, ako ne koristiš https pristup surfalicom (ili njihovu gmail "aplikaciju"), server želi od klijenta password primiti samo u cleartextu (bez enkripcije). To nema veze s Appleom, nego sa serverom.



U googleu. Ne. Ali to je besplatna usluga. Što ih briga. Ako ti ne valja, idi dalje. I idi dalje. Jeo te gmail. .



Gle, ne želim te vrijeđati, ali upravo tom izjavom si sam sebi zalijepio veliki natpis "BLENTO" na čelo. I "šutni me" na leđa.



Ako ne ševiš naokolo, nego se držiš svoje drage, ne treba ti kondom (osim kao kontracepcija), zar ne?
Čemu ti služi taj komp? Surfaš po warezima i pornjavama? Ubadaš bilo kakve stickove u njega? Onda trebaš neku mjeru opreza. A opet je pitanje da li je to antivirus ili je bolje jednostavno koristiti linux.



Gmail i "bitno" ne ide u istu rečenicu. Ne ide u isti svemir. Točka.



Aaaaa, pa da naravno... pa deder probaj onda ti.

Za ovo...
Imap protokol gmail ima tako implementiran da, ako ne koristiš https pristup surfalicom (ili njihovu gmail "aplikaciju"), server želi od klijenta password primiti samo u cleartextu (bez enkripcije). To nema veze s Appleom, nego sa serverom.

A kako ide s enkripcijom? Kod kojeg pružatelja usluge?

Nisam istraživao općenito. Kod zoho.com ide autentifikacija i sa, i bez enkripcije.

Decki, stvarno ne znam kud bih ovo postao, pa ako mislite da bi negdje bolje odgovaralo pliz modovi premjestite Uglavnom, radi se o tome da su odredjene instalacije aplikacije Handbrake bile zarazene malwareom.



Vise na linku:

forum.handbrake.fr/viewtopic.php?f=33&t=36364

Treba biti dotični proces aktivan i datum se treba gađati.
JA imam 1.0.7 ali je kreiran 9.4. i mijenjan 23.4.
Ne znam što mu je ovo "fr."? Možda mirror server?
S druge strane, nadogradnj,a ako se radi kroz aplikaciju koja provjerava potpis, ne može se dobiti sranje.

^SuperUnknown^, hvala na informaciji. Vidjet ću dalje da je učinimo vidljivijom.

Zar ponovno? Pa ista stvar im se desila prije par miseci, mislim da je 1.0.1 ili 1.0.2 verzije bila zarazena.

Za to nisam cuo, znam da je Transmission imao slicnu svinjariju u jednoj od proslih instalacija.

Inace, tvrtki Panic je pomocu tog malwarea popaljena odredjena kolicina source koda, tako da pripazite odakle preuzimate njihove aplikacije, tipa Transmit, Coda i slicno:

panic.com/blog/stolen-source-code/

Imas pravo, malo sam pobrkao, ipak je Transmission to bio.

Neko se dotakao Gmail-a u negativnom kontekstu, nije mi baš jasno što fali tom email servisu? Ja mogu samo reći da sam zadovoljan korištenjem tog email servisa.

smayoo veli da je zak...c.

@smayoo je pročitao uvjete korištenja (ja nisam) i širi evanđelje.
Očito Google, a i ostali servisi misle ako u USA mogu nešto, to nešto mogu bilo gdje.
Sve što pošalješ preko gmaila, može biti od nekoga drugoga. Autorska prava ne postoje osim ako nemaš bolje odvjetnike od njih.

Sir Oliver kaže:


Fali mu to što nemaju apsolutno nikakvu obavezu prema tebi kao korisniku, i mogu ti ukinuti svoju uslugu bez ikakvog objašnjenja i razloga. Idealni su za nekoga kome email nije bitan.

Jok, dobar su magnet za one mailove o povećanju penisa, viagru...

Uvjete korištenja nisam čitao samo iz razloga što smatram manje više, da bilo koji online servis može popustiti pod pritiskom određenih pravnih organa.
Zar Apple ili Microsoft imaju bolje uvjete korištenja i ne zadiru u privatnost korisnika? A svi mi koristimo njihove proizvode svakodnevno.

Također, koliko sam upoznat, sve što pošalješ preko Gmail-a ne može biti poslano od nekog drugog ( probaj kreirati npr. Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript ili Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript ) barem ne na legalan način.

Isto tako mišljenja sam da je danas teško govoriti o autorskim pravima i Internetu općenito.

zabac kaže:


Ako jesu, onda sigurno imaju i dobar spam filter jer ja nemam nikakvih problema sa takvom vrstom emailova.

Riba kaže:


Neki razlog uvijek mora postojati, možebiti i to što si napisao, meni je eto email bitan i zadovoljan sam sa gmail servisom.

Sir Oliver kaže:


Obicno gmail adresu dajem tamo gdje me nije briga. Svako toliko frontalno obrisem sve poruke niti ih ne citam. Ono sto mi je bitno, znam zamijeniti e-mail adresu.

Sir Oliver kaže:


I ne brine te sto u svakom trenutku pristup mozes izgubiti bez iakkvog objasnjenja i razloga? Ne pricam o hipotetskoj situaciji, upravo se to dogodilo mojoj supruzi koja je isto bila zadovoljna. Onda je naucila i presla na placeni servis koji i sam koristim, od kojeg u bilo koje doba dana mogu dobiti kvalitetnu podrsku i koji je prema svojim korisnicima maksimalno transparentan.