[Jahno]

Idézet: Modeller - Dátum: 2014. 10. 15. 15:22

Okos felhasználó nem ad idegen app-nak sms olvasási jogot. Persze a gyakorlatban tudjuk, hogy a felhasznalok 99%-ba bármilyen app-nak, bármilyen jogot megad.

Okos lennék, csak lassan már megint mindenhez kell mindenféle jog.

[attila9988]

Tök jó ez a felhõ dolog... van még olyan szolgáltatás ami nem borult meg?

[Jahno]

Idézet: attila9988 - Dátum: 2014. 10. 15. 16:16

Tök jó ez a felhõ dolog... van még olyan szolgáltatás ami nem borult meg?

Az általad üzemeltetett Linuxok és opencuccok. Azok mennek örökké. Sőt! Tovább!

[auth.gabor]

@Modeller: "rosszul tudod, root nélkül is tud teljes backupot, de pc kell hozzá."

1, Mentettél és állítottál már vissza Helium-al root jog nélkül Google Authenticator alkalmazást? Ha igen, akkor nagyon örülnének neki, mert a fórumok tele vannak azzal a problémával, hogy a GA root jog nélkül nem menthetõ és/vagy nem visszaállítható. Sokat segítenél nekik.
2, Amikor natív driver telepedik a telefonra és ADB-n keresztül rendszerszolgáltatásokat hív, az technikailag root jog, de még így se lehet mindent lementeni, jelenlegi ismereteim szerint a GA-t sem, de megírhatod a módszert.
3, Erre írtam, hogy jelentõsen tenni kell azért, hogy egy alkalmazás saját adatait el tudd érni, nem olyan triviális dolog, mint az SMS szolgáltatásra egy bind...

"Dehogynem, azonnal hivod a bankodat és letiltod az egészet. Az utalásokat vissza tudják vonni x ideig és eljárás is indul ellene."

Ja, végül is csak ennyi. Szokták is csinálni... mert vannak visszaélések az SMS alapú kétfaktoros azonosítással.

"Rootolt telefon esetén ugyanannyi erõfeszitést igényel, de mint mondtam máshogy is megszerezhetõ, pl backupból amit a pc-den tárolsz. Androidon is, ios-en is."

Tudnál mutatni példát arra, amikor egy szolgáltatást a desktop-ra mentett backup-ból kinyert Google Authenticator segítségével törték meg?

"Ez ugyanúgy igaz az sms-re is. Okos felhasználó nem ad idegen app-nak sms olvasási jogot. Persze a gyakorlatban tudjuk, hogy a felhasznalok 99%-ba bármilyen app-nak, bármilyen jogot megad."

Akkor? Átlagfelhasználó bizony lehetõvé teszi egy trójainak, ezért aztán ki is használják... viszont nincs az a trójai, amelyik egy root nélküli telefonon beleolvas egy másik alkalmazás adataiba...

[Modeller]

@auth.gabor: " Mentettél és állítottál már vissza Helium-al root jog nélkül Google Authenticator alkalmazást?"

Igen, pc-vel, mint irtam is.

"Amikor natív driver telepedik a telefonra és ADB-n keresztül rendszerszolgáltatásokat hív, az technikailag root jog"

Ez szintiszta marhaság, ettõl nem lesz root jogod.

"Szokták is csinálni... mert vannak visszaélések az SMS alapú kétfaktoros azonosítással."

forrás?

"Tudnál mutatni példát arra, amikor egy szolgáltatást a desktop-ra mentett backup-ból kinyert Google Authenticator segítségével törték meg?"

Arra tudok példát mutatni, hogy bármelyik alkalmazás adatához hozzáférsz az backupból. A google authenticator is csak egy mezei program, semmi különleges dologgal nem rendelkezik.

"Akkor? Átlagfelhasználó bizony lehetõvé teszi egy trójainak, ezért aztán ki is használják... viszont nincs az a trójai, amelyik egy root nélküli telefonon beleolvas egy másik alkalmazás adataiba..."

Hogyne, adatot se lopnak soha sehonnan.
De szerintem zárjuk, már 10x leirtam, hogy a google authenticator kódja sokkal veszélyesebb mint az sms ellopása. Nem érted, nem tudom jobban leirni. Mindkettõ ellopható, csak a google authenticator kódja sokkal veszélyesebb.

[attila9988]

@Jahno: Ugyan már... te is tudod hogy a felhõ ígérete az, hogy jobb, megbízhatóbb, biztonságosabb, bárhonnan eléred.

Ebbõl az elsõ három nettó hazugság, a harmadik meg lazán elmegy hátránynak is, hiszen mindenki hozzáfér bárhonnan ha van egy kis gond....

Szóval... nem állítom hogy helyi rendszerek nem döglenek. Azt viszont igen, hogy a felhõ marketing hazugság, mert azok is döglenek.

[Leni]

@attila9988: "Ugyan már... te is tudod hogy a felhõ ígérete az, hogy"

Nekem a felhõ ígérete az, hogy nem kell hardver beszerzéssel, installálással, karbantartással szopólnom, hanem bagóért megcsinálják.
300Mbájt/s sebességgel mozog benne az adat (mentés) havi $10 körüli összegért.

[Jahno]

Idézet: attila9988 - Dátum: 2014. 10. 15. 21:28

@Jahno: Ugyan már... te is tudod hogy a felhõ ígérete az, hogy jobb, megbízhatóbb, biztonságosabb, bárhonnan eléred.

Ebbõl az elsõ három nettó hazugság, a harmadik meg lazán elmegy hátránynak is, hiszen mindenki hozzáfér bárhonnan ha van egy kis gond....

Mikor melyik ígérete. Előbb szoktak az árral hadakozni, mint a megbízhatósággal, ezt ráadásul összemértük, hogy 1-2 felhős cég mennyire állt és mennyire szoktak állni a Pistike-féle gépek.

Többiről írtam Neked privátban, én nem tépem tovább a szám, arra annyit sem mertél írni, hogy lófasz.

[auth.gabor]

@Modeller: "Igen, pc-vel, mint irtam is."

Segítenél nekik?

"Unfortunately it can"t backup data of Google authenticator"
http://forum.xda-developers.com/showthread.php?t=2463733

"Helium backup does no backup for google authenticator."
https://bitcointalk....topic=201082.20

"It"s worth noting Helium won"t back up Google Authenticator."
http://arstechnica.com/civis/viewtopic.php?f=9&t=40312&start=2240

...és még bõven van erre példa... nem lehet, hogy esetleg mégiscsak root joggal futottál neki a mentésnek?

"Ez szintiszta marhaság, ettõl nem lesz root jogod."

Technikailag root jogod lesz, mert olyan adatokhoz tudsz hozzáférni, amihez normál esetben nem (privilege escalation), de mint írtam volt, még így se tudsz mindent olvasni vagy írni...

"forrás?"

"What made Eurograbber different from past Zeus campaigns, other than the sheer amount of money stolen, was the fact that it successfully compromised both the user"s computer and mobile device to bypass the bank"s two-factor authentication mechanisms, Burkey said."

http://www.securityweek.com/sophisticated-zeus-campaign-stole-36-million-30000-bank-accounts

"Now, this is definitely not the first time when hackers could defeat SMS-based two-factor authentication.
"
http://blogs.kuppingercole.com/balaganski/2014/07/23/operation-emmental/

És a többi... ja, öt éven át bankban dolgoztam... volt rálátásom arra, hogy mit és mivel támadnak.

"Arra tudok példát mutatni, hogy bármelyik alkalmazás adatához hozzáférsz az backupból. A google authenticator is csak egy mezei program, semmi különleges dologgal nem rendelkezik."

Ez egy vékonyka kis elképzelt támadási vektor, amelyet több direkt felhasználói hiba együttes alkalmazása után lehet kihasználni... és akkor is csak a felhasználók egy igen szûk csoportján, akiknek valószínûleg nincs sok pénz a számlájukon, mert van idejük ilyesmivel baszkolódni.

"Mindkettõ ellopható, csak a google authenticator kódja sokkal veszélyesebb."

Felõlem olyan veszélynek teszed ki magad, amilyennek akarod, csak másokat ne vegyél rá arra, hogy egy kihasználhatatlanul vékony támadási vektort gondolsz jelentõsen veszélyesebbnek egy olyan támadási felületnél, amellyel évek óta már dollármilliókat lopnak...

[attila9988]

@Jahno: Most épp csak a "megbízhatóságról" volt szó, semmi másról. És ahogy a cikk is írja, meg a rengeteg másik amik a felhõszakadással kapcsolatosak, bizonyítják, hogy egyáltalán nem tekinthetõ biztonságosnak a felhõs megoldás. És akkor most csak egyetlen kritériumról van szó, a többirõl nincs.

Gond van a dropbox -al? Igen. Ennyi...

[attila9988]

@Leni: Kinek mi a fontos. Neked ez, másnak nem. Mérlegelje mindenki hogy épp mi kell neki.
Ami viszont biztos, hogy ha elkezded felsorolni magadnak, hogy számodra miért lehet jó a felhõ, a "biztonság" -ot nem igazán írhatod bele ebbe a felsorolásba.

[auth.gabor]

@attila9988: "Ami viszont biztos, hogy ha elkezded felsorolni magadnak, hogy számodra miért lehet jó a felhõ, a "biztonság" -ot nem igazán írhatod bele ebbe a felsorolásba."

Azért, mert nem cikkeznek naponta a privát szerverek adatszivárgásairól, még nem jelenti azt, hogy nem történik ilyen naponta többször is... megtörték például a J.P.Morgan Chase-t? Meg. Ellopták 76 millió felhasználó személyes adatait? El. Cloud volt? Nem. Akkor ezen logika alapján a dedikált szerverek esetén a biztonságot nem írhatod bele a felsorolásba?

[Modeller]

@auth.gabor: Persze, azért is sikoltoznak a google fórumain, hogy cleartextben tárolja az authenticator a titkokat, mert annyira lehetetlen ellopni belõle.

https://code.google....s/detail?id=254

A google válasza, hogy leszarja, jól van az igy. Az meg, hogy ugye usb-n lemásolható pár perc alatt egy otthagyott telefonról is, az apróság. Kedvencem: ""WontFix", are you joking? seriously, get it done."

Mindegy, te használd azt.

Sokévig banknál dolgoztál és nem találkoztál még google authenticator által elkövetett lopásról? Ez nagyon tanulságos, elképesztõen sok bank használ itthon google authenticatort.

Én meg saját authenticatort irtam, igy lehet kicsit közelebbrõl ismerem a problémát. Igaz az enyém nem is cleartextben tárolja a titkokat, mint a google-é...

[auth.gabor]

@Modeller: "Persze, azért is sikoltoznak a google fórumain, hogy cleartextben tárolja az authenticator a titkokat, mert annyira lehetetlen ellopni belõle."

...és mi volt a válasz?

"Step #1 assumes you have root access or have otherwise compromised the security of the Android device."

Vagyis root jog vagy tört eszköz nélkül nem jutsz hozzá ehhez az információhoz. A Helium se jut hozzá.

"Sokévig banknál dolgoztál és nem találkoztál még google authenticator által elkövetett lopásról?"

Google Autheticator issue nem volt, de egyéb OneTimePassword issue se volt, ellenben volt sok egyéb, mindenféle phising és malware, európai bankokat támadtak kétfaktoros SMS bypass használatával, írtam linkeket is, úgy látom elegánsan kihagytad.

"Én meg saját authenticatort irtam, igy lehet kicsit közelebbrõl ismerem a problémát. Igaz az enyém nem is cleartextben tárolja a titkokat, mint a google-é..."

Remek, megváltottad a világot.

[Modeller]

@auth.gabor: Mi volt a válasz? hogy leszarják. A válasz válasza, hogy de 5 perc alatt ellopható egy ottfelejtett telefonról, vagy rootolt telefonról semmi perc alatt. De van még ilyen thread 50, igy sokaknak az a véleménye, hogy ez igy szar. De, ha neked megfelel, használd.

"írtam linkeket is, úgy látom elegánsan kihagytad."

Nincs mit hozzáfûzni, mert én azt mondom, hogy mindkét fajta kód ellopható, csak a google authenticator kódjának ellopásával sokkal többre lehet menni, mint az sms ellopásával. De most már tényleg hagyjuk, mert már unalmas 50x is leirni, miközben te csak hajtogatod, hogy nem lehet ellopni, amikor el lehet...

[auth.gabor]

@Modeller: "A válasz válasza, hogy de 5 perc alatt ellopható egy ottfelejtett telefonról, vagy rootolt telefonról semmi perc alatt."

Ahhoz azért ott kell lenni fizikailag... az SMS hijack pedig kivitelezhetõ szórt malware-el, célzott phising támadással és még ezernyi módon.

"De van még ilyen thread 50, igy sokaknak az a véleménye, hogy ez igy szar. De, ha neked megfelel, használd."

Nekem teljesen mindegy, hogy mit használsz. De amíg az egyikkel évek óta vannak sikeres visszaélések, a másikkal meg nem, addig azt preferálom, amelyiket nem támadják...

"miközben te csak hajtogatod, hogy nem lehet ellopni, amikor el lehet"

Leírtam már néhányszor: root jog kell hozzá.

Aki megtöri az saját telefonját, aztán meg ellenõrizetlen forrásból telepít rá és érzékeny adatokat tárol rajta, az magára vessen...

[Jahno]

Idézet: Modeller - Dátum: 2014. 10. 16. 12:52

Nincs mit hozzáfûzni, mert én azt mondom, hogy mindkét fajta kód ellopható, csak a google authenticator kódjának ellopásával sokkal többre lehet menni, mint az sms ellopásával. De most már tényleg hagyjuk, mert már unalmas 50x is leirni, miközben te csak hajtogatod, hogy nem lehet ellopni, amikor el lehet...

Legfeljebb egybites júzert nem veszélyezteti, mert nincs rootolva a telefonja.

[Leni]

@attila9988: "a "biztonság" -ot nem igazán írhatod bele ebbe a felsorolásba"

Csak te akarod mindenképpen beleírni. Még õk sem állítják ezt magukról:

https://azure.microsoft.com/hu-hu/

http://aws.amazon.com/what-is-cloud-computing/?sc_ichannel=ha&sc_icountry=en&sc_icampaign=ha_en_WhatIsCC&sc_icontent=ha_212&sc_idetail=ha_en_212_1&sc_iplace=ha_en_ed&sc_isegment=2&/

[Jahno]

Idézet: Leni - Dátum: 2014. 10. 16. 15:20

@attila9988: "a "biztonság" -ot nem igazán írhatod bele ebbe a felsorolásba"

Csak te akarod mindenképpen beleírni. Még õk sem állítják ezt magukról:

Cégaszerűen sok mindent garantálnak is. Még komolyabb biztonsági szintet, vagy amit akarunk. Nem baj, attilasokszám az összes zsolgáltatót ismeri, mind szar és kész, Ő már csak tudja.