13:17
7/3/2019

W tym odcinku także przegląd newsów i kolejne zmiany w dźwięku (mamy nadzieję, że na plus). Niewątpliwie różne (dziurawe) systemy Ministerstwa Finansów są motywem przewodnim tego odcinka…

Posłuchaj tego odcinka

Listen to “NP #014 – ten w którym analizujemy porno i dzielimy się wrażeniami” on Spreaker.

Bądź na bieżąco i zasubskrybuj nasz podcast w Twojej ulubionej aplikacji do podcastów. Po prostu wyszukaj tam “niebezpiecznik” lub “na podsłuchu“. Jesteśmy oczywiście w iTunes, na YouTube, oraz Spotify. Jak nas zasubujesz, to o kolejnych odcinkach będziesz informowany automatycznie przez Twój smartfon.

Linki do omawianych zagadnień

W odcinku przywoływaliśmy m.in. poniższe zagadnienia:

  • Porno na stronach gov.pl — zastanawiamy się jak technicznie dokonano ataku, jest matematyka (kombinacje) i analiza mechanizmów świetnego skądinąd CloudFlare’a na żywo. Mówimy też o tym co zrobić, aby się przed takim atakiem uchronić w kontekście swoich domen. DNSSEC ftw? W każdym razie, najnowsze ustalenia (wciaż zagadka nie jest w pełni wyjaśniona) znajdują się w tej aktualizacji.
  • Marcin przedstawia wyniki testów bezpieczeństwa i dokładną specyfikację kamer, jakie będą nosić “na sobie” polscy policjanci. Nie działają w ciemnościach (brak promiennika podczerwieni) — i jest ku temu dobry powód. Nie nagrywają cały czas, ale są w pre-pętli 30 sekund. Nie mają łączności bezprzewodowej aktywnej i przekazywania nagrania na żywo do “chmury”. Porównujemy to do niemieckiego rozwiązania.
  • Ostrzegamy przed VirusTotalem, którego pewne firmy używają za bardzo i ujawniają innym swoje firmowe sekrety
  • Kuba opowiada o dylemacie jaki ma Mozilla, która powinna zaakceptować wniosek (dodanie Root CA) od firmy, która ma niezbyt dobrą reputację… Zastanawiamy się, czy w tzw. transparency logu ślady złośliwej działalności tego CA byłyby widoczne (gdyby chcieli, żeby nie były ;).
  • Hejtujemy Facebooka za wykorzystywanie numerów telefonów podanych mu w celu bezpieczeństwa do targetowania reklam, a bardziej to, że okłamał użytkowników i nie daje im możliwości zmiany zakresu w jakim numer telefonu jest wykorzystywany. To może podważyć zaufanie do 2FA, z którego każdy powinien korzystać. Przy okazji widać, dlaczego U2F jest najlepszym rozwiązaniem jeśli chodzi o dwuetapowe uwierzytelnienie. Gdzie dodajecie token U2F, kasujcie numer telefonu.
  • Rozważamy temat zwiększania wygody serwisów kosztem bezpieczeństwa. Czy to ma sens? Kiedy? Na przykładzie i CloudFlare i serwisu do rozliczania podatków, ePIT, który miał “dziurę” na starcie (znów Ministerstwo Finansów!). Poruszamy tu też tematykę analizy ryzyka. Piotr bierze Ministerstwo Finansów w obronę (częściowo) i zastanawia się, czy PIT-y mogły by być bezpiecznie przesyłane Polakom przez internet. I tylko w tym kanale.
  • Zastanawiamy się jak państwo polskie mogłoby potwierdzać tożsamość Polaków “przez internet” np. za pomocą Profilu Zaufanego, który niestety nie świadczy takich usług firmom, a mogłoby :(
  • Piotr przedstawia narzędzie Windows Exploit Suggester, który pozwala sprawdzić nowe systemy Microsoftu pod “braku patchy” na znane podatności i zaprasza na szkolenie “Bezpieczeństwo Windows“, które za pomocą wbudowanych w Windows narzędzi pokazuje, jak poprawnie “zabezpieczyć” środowisko pracy bez wydawania dodatkowych kosztów na (zbędne) oprogramowanie firm trzecich. Jeśli masz w firmie Windowsy pracujące w domenie, powinieneś pójść na to szkolenie! A jak Windowsami nie administrujesz a chciałbyś zobaczyć jak je i pozostałe systemy atakować (i zabezpieczać), to powienieś pójść na inne nasze szkolenie — “Bezpieczeństwo Sieci Komputerowych (testy penetracyjne)” :) Zwłaszcza teraz warto się zapisać, bo w podcaście pojawia się tajny kod zniżkowy.

 

Zasubskrybuj nas, aby nie przegapić nowych odcinków

Aby zapoznać się z poprzednim odcinkami i nie przegapić odcinków kolejnych — zasubskrybuj nasz podcast! Po prostu wpisz “niebezpiecznik” w wyszukiwarce swojej ulubionej aplikacji do podcastów. “Na Podsłuchu” ma także swoją stałą podstronę na Niebezpieczniku:

Strona podcastu Na Podsłuchu

Znajdziesz na niej player pozwalający odsłuchać wszystkie odcinki oraz listę linków do postów z dodatkowymi informacjami dla każdego z poprzednich odcinków (m.in. ze spisem omawianych artykułów oraz narzędzi).

Można nas też subskrybować przez:

Będziemy też superwdzięczni, jeśli ocenisz nasz podcast na 5 gwiazdek. Dzięki temu “zhackujesz” algorytm poleceń i więcej osób będzie w stanie nas usłyszeć, a w konsekwencji zabezpieczyć się przed internetowymi oszustwami. Win – Win.

Do podsłuchania!

Przeczytaj także:

36 komentarzy

Dodaj komentarz
  1. Automatyczne uruchamianie dźwięku po otwarciu karty jest zdecydowanie na minus

    • media.autoplay.default;2
      :)

  2. Mając kilkaset kont mamy dostęp do wszystkich cloudlarowych NSów, Czy nie wystarczy zatem skorzystać z tego konta, na którym jest primary NS domeny atakowanej? Wtedy ustawimy A z dużym TTL na primary, a secondary będzie pusty. Efekt podobny, a ilość posiadanych kont potrzebnych do ataku dużo mniejsza.

  3. Smuteczek że nie ma easter egga. :(

  4. Liczba_mozliwosci = Liczba_meskich * Liczba_zenskich

  5. Analizujecie porno? Wspaniałe udogodnienie dla osób niedowidzących.

    • I jeszcze dzielą się wrażeniami ;)

  6. A coś o Spoilerze u Intela?

  7. Przecież przy zakładaniu konta na FB wymagają numer telefonu jako weryfikacja. Nie da się założyć konta bez numeru telefonu.

    • Dokładnie, dodatkowo jeśli podamy email możemy usunąć nr tel z konta. Jak podamy tylko jr tel to wtedy wiadomo ze nie chyba ze dodamy adres email (nie sprawdzałem)

    • Da się, wystarczy wybrać mail potem prosi nas o numer, ale można pominąć ten krok.

    • 2019.03.08 13:49
      Tak się nie da. Wystarczy, że na FB będziesz próbował do kogoś napisać wiadomość na priv to pojawi ci się komunikat z prośbą o weryfikacje numeru telefonu.

      Czasem bywa tak, że założysz konto, dodasz fotki, a za dwa dni pytają o nr. te. w celu zapewniania twojego bezpieczeństwa. Do puki nie podasz tel., to nie będziesz mógł korzystać z FB:)

    • Jak złożysz konto na adres email pewnego dostawcy skrzynek email to cię o numer nigdy fb nie poprosi.

    • zakładałem nie raz na swojej domenie jakieś biedakonta i mam sposób aby nie prosiło ;)

    • Wystarczy założyć konto na maila z tego dużego innego serwisu kontrolującego co widzimy w internecie i o numer nie proszą.

    • > Jak złożysz konto na adres email pewnego dostawcy skrzynek email to cię o numer nigdy fb nie poprosi.

      Dlaczego nie chcesz napisać jakie to konto?
      Dlaczego wtedy FB nie prosi o numer tel?
      Czy jest jakiś sposób na to by analogicznie FB nie prosił o skan dokumentu tożsamości?

    • > Wystarczy założyć konto na maila z tego dużego innego serwisu kontrolującego co widzimy w internecie i o numer nie proszą.

      Masz na myśli GMail? Przecież nie da się tam założyć konta bez podania numeru telefonu, tym razem Google’owi.

    • Zakładając na dużym trzeba to robić z odpowiedniego urządzenia, bo standardowo na lapku wyjdzie zaskoczenie:).

      ps.
      Oczywiście jest milion innych sposobów jak wykupienie zagranicznego prepaid, wirtualne numery tel, na bezdomnego czy zakładanie kont z odpowiedniego ip z danego państwa:)

  8. Jeżeli chodzi o podpięcie domy pod Cloudflare – de facto powinno wystarczyć, jeżeli primary NS będzie się zgadzał. Czyli wystarczy tyle kont ile NSów.

    Jeżeli chodzi o rejestrację root CA – przecież firma, która wystawia certyfikaty bez weryfikacji kontroli nad domeną powinna polec w trakcie audytu.

    “The CA SHALL confirm that prior to issuance, the CA has validated each Fully-Qualified Domain Name (FQDN) listed in the Certificate using at least one of the methods listed below.”

  9. “Zastanawiamy się jak państwo polskie mogłoby potwierdzać tożsamość Polaków “przez internet” np. za pomocą Profilu Zaufanego,”
    – Musieli by najpierw podniesc poziom bezpieczenstwa.
    Tak samo jak w zyciu, tak i w internecie tozsamosc mozna ukrasc, czyli konta.
    Przy ostatnim wycieku kilku TB danych z roznych portali co byscie poprawili ?
    1. Wymusili 2FA logowanie ?
    2. Wymuszenie logowanie za pomoca pliku z komputera, czesc danych na serwerze byla by szyfrowana tym plikiem, aby chronic uzytkownikow gdy nastapi kompletne przejecie serwera przez obce osoby ?
    I czy to tez byloby podwojnym uwierzytelnieniem u innych i tym uwierzytelnieniem bylaby zgadzajaca sie suma liczb podobny do techniki PESEL ?
    3. Logowanie do EPUAP dozwolone tylko posiadajac tymczasowy kod ktory otrzymalibysmy od wlasnego banku lub innej zaufanej instytucji na ktorej rowniez mamy konto i nie jest powiazane z adresem email a z prawdziwym urzadem ?
    Czy to uchroniloby nas przed zresetowaniem konta EPUAP po przejeciu konta email ?
    4. Czy dodalibyscie widok IP z ostatnich 10 logowan ?
    Lub inny kod ktory dalby operator zamiast stalego IP aby potwierdzic jego dozsamosc, jesli uzytkownik tego by chcial ?
    Jak sie bronic jesli nasze sluzby lub innych krajow poprzez wplywy podmienilyby IP na nasze ?
    Martwi tez mnie wirtualna kreacja pieniadza. Ze mozna ja latwo skopiowac, wykasowac.
    Czy stworzymy kiedys lepsze alternatywy, czy pozostanie ona do konca swiata ?

  10. A propos potwierdzania tożsamości. Dłubiąc w kompletnie czymś innym wdepnąłem dzisiaj na stronę:

    https://login.gov.pl/login/services

    Pomysł był (jest?) ale wykonanie takie, że nawet jako aktywny użytkownik epuapu / PZ nie miałem o takiej inicjatywie (sformalizowanej) pojęcia.

    Gdyby nie to, że urzedy, i te centralne i te w samorządach stoją na losowych CMSach, to pewnie możnaby umiarkowanym zasobem sił w krótkim czasie zintegrować wszystkich. Przy tym chaosie który teraz mamy jest to zapewne mission impossible, więc dopóki MC nie uporządkuje chaosu w hostingu, to czeka nas chaos w uwierzytelnianiu.

  11. Kamery u policjantów na mundurach nie będą nic potrafiły. We Wrocławiu, kobieta przyszła zgłosić usiłowanie gwałtu (gość w trakcie jednej imprezy próbował zgwałcić cztery kobiety, ale był na tyle pijany, że się wybroniły). Spotkała się z bardzo wulgarnymi komentarzami ze strony policjanta, który miał na sobie kamerkę. Oficjalne stanowisko policji? Kamera niestety była rozładowana.

    • Te kamerki powinny nagrywać, przez cały okres służby policyjnej w danym dniu. Pełnić funkcję czarnych skrzynek. Jak w samolotach. Tak się jednak nie stało bo by było za dużo zarzutów dla milicji, która jest anty-obywatelska.

  12. A co z niebezpiecznik.pl i dnssec? Działa? Bo jakoś nie widzę….

    • Na szczescie my nie zbieramy danych podatnikow

    • @Piotr Konieczny

      A loteria zbierała? I kto w obecnych czasach czegoś nie zbiera. Ale na poważnie to trochę zawiodłem się twą odpowiedzią. A to trzeba zbierać dane czy być gov żeby sobie zawracać głowę dnssec? Pytałem z czystej ciekawości bo zawsze widzę brak dnssec na waszej domenie. Zresztą patrząc w logi ns’ów to dnssec jest prawie jak wielka stopa. Widuje raz na ruski rok jak pojawi się domena z dnssec ale to chyba już od dawna jest faktem że dnssec w szerokim świecie jest martwy.

  13. Problem z podpinaniem się pod domeny CF zauważyłem też z drugiej strony – w sensie zaraz po rejestracji. Rejestruje sporo domen i automatycznie podpinam pod CF – domyślnie ustawiam od razu pary serwerów CF na różnych kontatch. Czasem zdaży się, że proces u rejestratora nie zakończy się powodzeniem. CF nie doda takiej domeny, ponieważ wymogiem jest to, aby domena istniała. Parokrotnie wracałem do takiej domeny np. 2-3 dni później, aby odpalić ponownie proces dodania ją do CF i ku mojemu zdziwieniu był już na niej kontent Porno.

    Najbardziej zastanawia mnie, z jakiego mechanizmu korzystają Ci goście, aby wyłapywać nowo rejestrowane domeny? Są głównie domeny z długimi, opisowymi nazwami.

  14. Liczba możliwości wyboru 2 serwerów z 400 to liczba wariacji bez powtorzeń 400 nad 2 wynosi (400! /(398!*2!))=79800.

    • 1) Kolejność nie ma znaczenia w konfiguracji DNSów
      2) CF tak na prawdę wybiera z 2 rozłącznych zbiorów: imiona męskie i żeńskie

      Jeżeli założymy, że mają po prostu po 200 takich imion, to masz 200^2 = 40k kombinacji.

  15. W sprawie mozliwosci wlamywania sie do serwisu podatkowego, w ktorym logowanie jest na podstawie historycznych danych podatnika, i kradziezy zwrotow podatku polecam 26 epizod podcastu Darknet Diaries. Opisuje, jak to robia w USA. Urocze to jest, nawet jakis lokalny gangsta-raper ma piosenke o tym procederze.

    Jesli mozna wkleic link, to jest taki:
    https://darknetdiaries.com/episode/26/

  16. Niezła wtopa ze strony rządu.

  17. W sprawie PIT – jest już możliwość “Możliwość logowania danymi podatkowymi” w ustawieniach konta, jest też historia logowań.

  18. ‘Analizujemy porno’ – to chyba najlepsza zachęta do aplikowania do pracy w niebezpieczniku.

  19. ok 50 min jesteście w błędzie – do zalogowania do e-pit można wpisać albo sumę dochodów z wielu PIT11, albo kwotę z dowolnego pojedynczego PIT11

    ja za zeszły rok miałem 2 PIT11 i zalogowałem się danymi z pierwszego jeszcze zanim otrzymałem drugi

  20. Odnośnie wglądu pracodawcy w pit pracownika to prawda, że dane swojego pracownika i tak już ma, ale jeżeli ten pracownik rozlicza się wspólnie ze współmałżonkiem to pracodawca (lub np. ciekawski pracownik księgowości) miał też wgląd w dane i wysokość dochodów współmałżonka. A tego raczej nie powinien mieć. Na szczęście szybko zostało to zabezpieczone i mogłem sprawdzić, że ani na moje ani na konto żony nikt obcy się nie logował.

  21. Moglibyście postarać się jakoś wyrównać poziom głośności dźwięku rozmówców? Jak ustawię tak żeby jedną osobę dobrze słyszeć to druga niemal krzyczy, a jak druga nie krzyczy to pierwszą ledwo słyszę, trochę to przeszkadza.

Odpowiadasz na komentarz Tlareg

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: