|
2.3, сабакка (?), 22:24, 30/03/2009 [^] [^^] [^^^] [ответить]
| +/– |
>смысл в ssh ключах тогда если они парольные?
С одиним качественным паролем легче работать, чем с большим их количеством.
| |
2.6, Щекн Итрч (ok), 22:34, 30/03/2009 [^] [^^] [^^^] [ответить]
| +/– |
>смысл в ssh ключах тогда если они парольные?
А смысл тогда в этих кредитных картах, если они PIN-кодные??? :)
| |
|
3.9, User294 (??), 23:40, 30/03/2009 [^] [^^] [^^^] [ответить]
| +/– |
>А смысл тогда в этих кредитных картах, если они PIN-кодные??? :)
Нашли что в пример привести.А можно вопрос: что там в кредитках секурное?Магнитная полоса читаемая пионерами на коленке?Пинкод из целых 4 цифр?Или может возможность произведения транзакций даже без знания пинкода только по номеру кредитки, который к тому же на ней пардон просто открытым текстом напечатан? :)
| |
|
|
5.15, Владимир (??), 01:46, 31/03/2009 [^] [^^] [^^^] [ответить]
| +/– |
>там rsa-ключик твой приватный запароленный твоим pin-кодом =)
Я не имею ввиду древние карточки. А те которые используются сейчас - чипованные. Они генерят открытый ключ по закрытому. Доступ к которому как раз и может быть осуществлён при помощи pin-кода. Точно такой же механизм как и запароленный ssh ключик.
| |
|
6.16, User294 (ok), 02:32, 31/03/2009 [^] [^^] [^^^] [ответить]
| +/– |
Знаете, у меня в кошельке лежит несколько карт.Выпущенных в этом году.Хоть бы на одной чип был, ага.Просто тупой кусок пластика с магнитной полосой и кучкой цифр, пассивный как бревно.И кроме того - даже на чип-картах обычно есть все та же магнитная полоса.Просто потому что далеко не везде банкоматы, картридеры и прочая понимают что такое там за чипы а прикладывать клиента мордой об стол на каждом углу - неэстетично.
Еще видел несколько сообщений о случаях ... заражения банкоматов вирусней.Ну, там стоит нередко винда и вирусы она подхватывает не хуже чем на десктопе.И кстати слова "Tranax operator manual" вам ничего не говорят?А то юзерье нашедшее этот мануал (качается любым бакланом из p2p или даже веба на раз-два) в свое время радостно обнаружило что на многих банкоматах пароль на тестовый режим не сменен с дефолтного, указанного в мануале :D (феноменальное долбобобство!).В итоге в штатах народ немало пограбил банкоматы пока кто-то не спалился свалив в туман не отключив тестовый режим :)
Собственно, такая вот безопасность.Круто на вид (чтоб клиенты икру не метали, а в безопасности они все-равно нули) а по факту - все обычно куда печальнее чем выглядит.
| |
|
7.28, Владимир (??), 13:28, 31/03/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Знаете, у меня в кошельке лежит несколько карт.Выпущенных в этом году.Хоть бы
>на одной чип был, ага.Просто тупой кусок пластика с магнитной полосой
>и кучкой цифр, пассивный как бревно.
Извините, я не из России, просто слышал что у вас банки - это просто декорация... собственно и технологии прошлого века =)
> И кроме того - даже на
>чип-картах обычно есть все та же магнитная полоса.
На той полосе просто продублирована зрительная информация с поверхности карточки =)
> Просто потому что далеко
>не везде банкоматы, картридеры и прочая понимают что такое там за
>чипы а прикладывать клиента мордой об стол на каждом углу -
>неэстетично.
Ну наверное тут тоже надо поправку на страну делать =)
>
>Еще видел несколько сообщений о случаях ... заражения банкоматов вирусней.Ну, там стоит
>нередко винда и вирусы она подхватывает не хуже чем на десктопе.
Самое прикольное не то что банкоматы заражаются, а что теперь и руьеры и холодильники и стиральные машины в spy-bot сети входят =) Забавно учитывая что не можешь в этом случае не чем своей технике помочь =)
>кстати слова "Tranax operator manual" вам ничего не говорят?А то юзерье
>нашедшее этот мануал (качается любым бакланом из p2p или даже веба
>на раз-два) в свое время радостно обнаружило что на многих банкоматах
>пароль на тестовый режим не сменен с дефолтного, указанного в мануале
>:D (феноменальное долбобобство!).В итоге в штатах народ немало пограбил банкоматы пока
>кто-то не спалился свалив в туман не отключив тестовый режим :)
да системы дырявые в большинстве своём =)
>
>
>Собственно, такая вот безопасность.Круто на вид (чтоб клиенты икру не метали, а
>в безопасности они все-равно нули) а по факту - все обычно
>куда печальнее чем выглядит.
согласен =)
| |
|
8.33, User294 (??), 17:29, 31/03/2009 [^] [^^] [^^^] [ответить] | +/– | А ничо что я в основном пользуюсь ситибанком Если он и декорация то, простите, а... большой текст свёрнут, показать | |
|
9.35, guest (??), 18:21, 31/03/2009 [^] [^^] [^^^] [ответить] | +/– | Проблемы ADSL модемов не проблема головы юзеров, а проблема тупого производителя... текст свёрнут, показать | |
|
|
7.37, Ivan (??), 16:12, 01/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Просто потому что далеко не везде банкоматы, картридеры и прочая понимают что такое там за чипы
У меня карта с чипом. При этом я периодически обедаю в одном ресторане, где терминал механический - карта прикладывается к квитанции через копирку и прокатывается ручкой (именно для этого буквы на Classic/Gold картах выпуклые и именно отсюда идёт название Visa Electron - там буквы рисованные, и потому на не-электронных, т.е. механических терминалах их не поюзать). И мне очень нравится что там мне не приходится вводить пин код (хотябы потому, что никто его не подсмотрит), а достаточно подписи. Во-первых у меня на карту есть страховка и банк возместит мне все затраты в случае утери/кражи/мошенничества, во-вторых нефиг сбережения на текущем счёте хранить.
| |
|
|
|
|
|
2.21, Michael Shigorin (ok), 10:32, 31/03/2009 [^] [^^] [^^^] [ответить]
| +/– |
>смысл в ssh ключах тогда если они парольные?
* ssh-agent(1)
* публичную часть можно передавать по недоверенным каналам, в отличие от пароля
| |
|
1.7, Аноним (-), 22:40, 30/03/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Не позорьтесь. Беспарольный ключ это такой файлик, который записывается на два разных компьютера (лучше без Интернета), и это самое надёжное соединение из существующих. По ссылке-то перейдите.
Заглавие измените. "Проекта Fedora".
Сдаётся мне, сотрудник отдал ключ специально. Злой он!
| |
|
2.8, Щекн Итрч (ok), 23:01, 30/03/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Не позорьтесь. Беспарольный ключ это такой файлик, который записывается на два разных
>компьютера (лучше без Интернета), и это самое надёжное соединение из существующих.
>По ссылке-то перейдите.
>Заглавие измените. "Проекта Fedora".
>Сдаётся мне, сотрудник отдал ключ специально. Злой он!
Сдаётся мне, что если ключ был бы защищен паролем, то вопрос о том, замешан или не замешан в его передаче сотрудник - имел бы один ответ?
| |
|
3.32, Денис (??), 16:07, 31/03/2009 [^] [^^] [^^^] [ответить]
| +/– |
нет. можно было бы попытаться перехватить и ввод пароля с его машины
чуть секурнее, конечно, но...
| |
|
|
|
2.11, Jay (??), 00:05, 31/03/2009 [^] [^^] [^^^] [ответить]
| +/– |
А еще бывают одноразовые пароли (One-time Passwords) ;)
| |
|
1.14, Аноним (-), 01:29, 31/03/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я что-то там ненашел как вообще злоумышленник проник в "закрома"? ткните пальцем
| |
|
2.26, Щекн Итрч (ok), 12:58, 31/03/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Я что-то там ненашел как вообще злоумышленник проник в "закрома"? ткните пальцем
>
Заснифал ключ в локалке.
| |
|
1.17, mma (?), 04:52, 31/03/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>активировать ведение логов с аудитом работы системы и настроить политики безопасности SELinux.
А до этого они таки поступили как во всех "популярных" howto - "Отключите SELinux ибо он нафиг не нужен". Ну про аудит еще понятно(включать в крайнем случае), но отключать SELinux без острой на то необходимости это глупо.
| |
|
2.19, pavlinux (ok), 07:55, 31/03/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>активировать ведение логов с аудитом работы системы и настроить политики безопасности SELinux. А до этого они таки поступили как во всех "популярных" howto -
>"Отключите SELinux ибо он нафиг не нужен". Ну про аудит еще
>понятно(включать в крайнем случае), но отключать SELinux без острой на то
>необходимости это глупо.
Включать его глупо, - тормозит, а толку хулькин гуй.
Нонче модно загонять всё и всех в Виртуальные машинки из chroot_a, в режиме RO снапшотов!
Пущай веселяться, хакают, форматируют FS, троянят, шелкодяд...
\n");
| |
|
3.25, аноним (?), 11:26, 31/03/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Включать его глупо, - тормозит, а толку хулькин гуй.
включать его сложно, а использовать то что плохо понимаешь да ещё и для защиты, вот это глупо
с включённым selinux ssh может работать только по 22 порту, если политику не подправить
| |
|
|
1.22, Michael Shigorin (ok), 10:35, 31/03/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Мне вот другое интересно: как именно приватный ключ спёрли? Бук потерял, на виски выменял, аль таки браузер сдал вместе с куками или ещё какая уязвимость _в ПО_?
| |
|
2.24, Аноним (-), 11:04, 31/03/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Мне вот другое интересно: как именно приватный ключ спёрли? Бук потерял,
>на виски выменял, аль таки браузер сдал вместе с куками или
>ещё какая уязвимость _в ПО_?
Самое вероятное, что отснифили в то время как кто-то по сети ключ на другую машину копировал без шифрования.
| |
|
1.27, vitek (??), 13:17, 31/03/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>активировать ведение логов с аудитом работы системы и настроить политики безопасности SELinux.
вот это смешно. :-D
если федора не работает, то кто работает?
кстати, нашли кто?
и что ему было? на работу взяли? :-D
| |
1.30, remi (?), 14:26, 31/03/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Может быть все-таки не через "перехваченный", а через "украденный" ключ? Приватный ключ никуда не передается, как же он может быть перехвачен?
В оригинальном сообщении сказано "[...] the intruder took a copy of a SSH private key which was not secured with a passphrase from a system outside the Fedora infrastructure". Что надо понимать как "[...] злоумышленник сделал копию приватного ключа SSH, который не был защищен парольной фразой, c системы, не входящей в инфраструктуру Fedora".
В оригинальном сообщении также сказано, что злоумышленник заполучил не только приватный ключ, но и пароль к учетной записи того администратора на серверах Fedora. Если исключить банальное разгильдяйство и сговор (на это не похоже, имхо), это могло быть сделано только на персональном компьютере администратора.
Вполне возможно, что злоумышленник знал этого администратора лично. Почти наверняка имел физический доступ к его компьютеру. Это мог быть компьютер на работе, дома или даже в университетском кампусе. Возможно, это был ноутбук. Приватный ключ мог быть скопирован с выключенной системы в отсутствие хозяина. При этом на систему также мог быть подсажен кейлоггер для перехвата пароля от учетной записи на серверах Fedora.
При наличии физического доступа это не трудно сделать. При наличии физического доступа с компьютером можно вообще сделать что угодно.
В общем, уважаемые коллеги, оглянитесь вокруг. Уверены ли вы, что ваши секреты защищены физически? ;)
| |
1.31, sluge (??), 15:38, 31/03/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
короче чувствуется что на всех их серваках до августа 08 везде безопасть была на уровне root:root :)
конфиктера на них нету :D
| |
|