•  

    Co to są Canary Tokens i jak można wykorzystać je do wykrycia włamania we wczesnej jego fazie.
    Jakie informacje na temat naszych zakupów posiada Google?
    Czy hasła maskowane stosowane w bankach to rzeczywiście taki dobry pomysł?
    Jak przekonać użytkownika do zainstalowania złośliwego oprogramowania przy pomocy HTML?
    O metodzie ataku poprzez kabel USB podpinany do komputera.

    Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
    Jeżeli chcesz być wołany dodaj się do Mirkolisty.

    #od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki

    źródło: youtube.com

    •  

      @KacperSzurek: w kwestii haseł maskowanych podałeś te same argumenty które słyszę od miesięcy albo i lat. Czyli częściowe i nie do końca poprawne. Nikt do tej pory nie zauważył innych plusów haseł maskowanych?
      1. W przypadku podmiany strony, np użytkownik klika maila z fałszywym linkiem, nie spojrzy na nazwę domeny i organizację na którą jest wystawiony cert. Atakujący będzie chciał od niego całe hasło w wiadomym celu, i jeśli wcześniej miał hasło maskowane to zapewne się zorientuje że coś nie halo.
      2. Nie widziałem jeszcze keylogera tak targetowanego aby mógł zebrać hasło maskowane z wielu logowań, zrobienie tego ręczne bez screenów z widocznymi numerami liter byłoby ciężkie.

    •  

      @sebask tylko że hasła maskowane nie chronią przed phishingiem bo po pierwsze tak jak wspomniałeś atakujący może prosić o całe hasło.
      Nic też nie stoi na przeszkodzie, żeby prosił tylko o kilka liter – tak jak prawdziwa strona.
      Atakujący może bowiem spróbować zalogować się przy pomocy podanego loginu – sprawdzić których liter żąda strona a następnie poprosić użytkownika tylko o nie.
      Po otrzymaniu danych od użytkownika kontynuować poprzednią sesję i w ten sposób się zalogować.
      Prawdziwą ochroną przed phishingiem są tokeny U2F – kiedy to przeglądarka wysyła do urządzenia adres bieżącej domeny.

      Odnośnie keylogera – dlatego w materiale wspomniałem o oprogramowaniu typu ClipBanker – które to podmieniania numer konta w schowku i nie potrzebuje całego hasła.
      Jeżeli komuś rzeczywiście zależy na maskowanym haśle to zapewne zainstaluje na komputerze ofiary oprogramowanie, które dodatkowo będzie robiło zrzuty ekranu.

    •  

      phishingiem bo po pierwsze tak jak wspomniałeś atakujący może prosić o całe hasło.
      Nic też nie stoi na przeszkodzie, żeby prosił tylko o kilka liter – tak jak prawdziwa strona.
      Atakujący może bowiem spróbować zalogować się przy pomocy podanego loginu – sprawdzić których liter żąda strona a następnie poprosić użytkownika tylko o nie.
      Musiałby działać w czasie rzeczywistym i bardzo szybko, myślę że takie rzeczy to tylko w targetowanym ataku. Nie widziałem podobnej realizacji w praktyce.

      Odnośnie keylogera – dlatego w materiale wspomniałem o oprogramowaniu typu ClipBanker – które to podmieniania numer konta w schowku i nie potrzebuje całego hasła.
      to już oddzielna sprawa, bez związku z rodzajem podawanego hasła ;)

      Jeżeli komuś rzeczywiście zależy na maskowanym haśle to zapewne zainstaluje na komputerze ofiary oprogramowanie, które dodatkowo będzie robiło zrzuty ekranu.
      Zgadzam się, ale tak jak wyżej - to już jest mocno targetowany atak :)

      Podsumowując, osobiście dalej uważam hasło maskowane za sporo lepsze rozwiązanie niż standardowe podawanie całego hasła.

      Tak przy okazji dzięki za fajny materiał, szanuję za zbieranie ciekawych informacji i dzielenie się nimi w takiej formie :)
      Moje czepianie się tematu haseł maskowanych nie jest w żadnym wypadku personalne.

    •  

      @KacperSzurek: @sebask: pytaniem otwartym pozostaje też ile podmiotów z maskowanym hasłem trzyma je w bezpieczny sposób, a ile w plaintexcie...

    •  

      @henk: To prawda. Odpowiedź jak to zrobić dobrze nie jest taka oczywista.
      Polecam artykuł na ten temat tutaj.