Cateva sfaturi tehnice pentru 2021

Categorii: Internet

03-May-2021 10:51 - 19 vizionari

Nu raspundeti la telefoane necunoscute din alte tari decat daca aveti motive intemeiate.

Nu apelati apeluri pierdute la numere necunoscute din alte tari.

(Desigur, urmatorul pas in pacalire este sa te apeleze cu numar de telefon, prin VOIP Internet, din tara ta, adica apelul iese din Internet prin provider local ca sa fie mai ieftin si crezi ca e apel din Romania. Apelul nu trebuie sa fie neaparat GSM, merge si pe whatsapp, telegram sau altceva.)

Scam dupa un apel ratat pe telefon.

Nu folositi aceeasi parola la mai multe conturi (email, gmail, yahoo, facebook, amazon, ebay, emag, banca, …) si nu folositi contul de email + parola de email cand va creati un cont nou undeva, folositi o parola noua pentru un cont nou.

Exemplu: pentru livrare de produse acasa in vreme de pandemie, te inregistrezi undeva cu adresa ta de email, dar si cu o parola diferita de parola de email. Nu are treaba firma de livrare produse cu parola ta de email, are treaba cu numele contului cu care te conectezi, care, pentru confuzie totala in secolul 21 si nu din pura intamplare, este adresa ta de email.

Multe firme au fost compromise de hackeri si li s-au furat toate conturile utilizatorilor inregistrati, adica email + parola + telefon + adresa + serie card bancar si data expirarii si codul de securitate CVV2 sau CVC2.

In urma unei erori (special provocata de hackeri) aparute pe sit-ul de web al firmei compromise apare o eroare PHP in care se anunta o eroare de conexiune cu baza de date si sunt oferite toate detaliile: serverul, userul si parola folosite la conectarea cu serverul de date.

Eroarea provocata de hackeri poate fi ceva banal: supra incarcare sit de web. Asa am vazut eu un caz real si am picat traznit razand si plangand simultan = RLOL.

Apoi hackerii pacalesc cumva PHP sa accepte un upload in server (am patit cum 20 de ani) care contine un document PHP in care se face o interogare simpla SQL pe tabela de utilizatori si, astfel se fura toate conturile. Cred ca pot face si eu asta folosind un serviciu anonim de ascundere IP (un proxy sau TOR) combinat cu un atac DDOS (asta e mai greu) urmat de un upload PHP.

Urasc PHP si incapatanatii care nu vor sa invete altceva decat PHP si firmele care accepta sit-uri cu PHP si programatorii care stocheaza parola in clar in tabela de utilizatori. Este inadmisibul ca dupa 20 de ani inca sa mai existe PHP si scandaluri legate de PHP.

Chiar daca parola este criptata (cu functii hash) cu tehnologia actuala o parola se sparge usor, incredibil de usor, sunt multe filme pe youtube.

Cum se sparge o parola: cu placi video puternice sau google cloud gratuit, cu pana la 12 ore o sesiune de decriptare, sau alte servicii gratuite de calcul distribuit sau cu calculatoare infectate care acum fac parte dintr-o retea distribuita de calcul – fiecare calculator din reteaua distribuita primeste cate o regiune unica de testare combinatii (forta bruta) si daca gaseste raporteaza parola gasita.

Cand observ activitate dubioasa pe hard disk sau incarcare mare de procesor pe calculator, banueisc ca e actualizare windows sau criptare ransomware (wannacry) sau minerit de bitcoin (facut de hackeri) sau spargere de parole (tot de hackeri) si ma grabesc sa reinstalez calculatorul, stiind ca securitatea windows este scazuta.

Dar cel mai repede spargerea parolelor criptate cu hash se face cu dictionare, dictionare cu cuvinte uzuale, dar si dictionare actualizate (parola:hash) cu parole aflate din sesiuni anterioare rulate pe calculatoare distribuite sau in cloud.

Apoi, pasul urmator, la fiecare cuvint din dictionar se adauga o combinatie de 2-3 cifre (000 … 999) la inceputul si/sau la sfarsitul cuvantului testat si se continua cautarea. Multi au aceeasi bucata de parola, dar terminata cu 01, 02, … – stiu ca am folosit si eu asta.

/* Este o mare rusine pentru firmele care sunt victime in furtul de informatii confidentiale si pentru firmele care permit crearea de conturi doar pe vorbe sau doar prin telefon. Confirmarea conturilor trebuie facute prin email, nu prin vorbe, nu prin SMS telefon. Anularea conturilor trebuie facuta prin link trimis prin email. Acceptarea conditiilor, acordul utilizarii datelor, confirmarea a orice altceva, trebuie facute prin link-uri trimise prin email. Este datoria fiecarui utilizator sa tina minte parola de email si sa nu o refoloseasca la alte conturi. */

Am cel putin un nesimtit (banuiesc ca sunt doi, unu este ardelean si altul este in Italia) care s-a inscris la multe-multe servicii online cu adresa mea de email.

La firmele care iau securitatea in serios toate confirmarile de creare de cont se fac prin link trimis in email.

Firmele care nu au implementat aceasta simpla optiune se vor umple de conturi inactive pentru ca unii nesimtiti sunt rugati sa ofere o adresa de email la inregistrare, nu au si ofera ceva fictiv, apoi uita parola si nu au cum sa recupereze contul.

Alte firme sunt si mai nesimtite: inregistrare cu email si cu numar de telefon, ai uitat parola, primesti codul de resetare prin email sau prin telefon.

Nesimtitul meu foloseste adresa mea de email si isi reseteaza contul prin email (chiar se asteapta sa mearga?) si apoi isi reseteaza contul prin telefon.

Eu primesc doar mesaj email ca s-a incercat crearea unui cont (de la firmele serioase) si sa confirm daca vreau asta sau direct confirmarea ca un cont a fost creat cu succes sau ca s-a cerut resetarea parolei unui cont (care nu e al meu) si codul de resetare este in email.

Vinovat de aceste mizerii electronice este si google prin politica oficial adoptata ca permite ca adresele de email sa fie tratate identic indiferent daca au un punct sau nu in numele lor:

If the sender added dots to your address, you'll still get that email. No one else sees your emails, and no one can take your account. For example, if your email is johnsmith@gmail.com, you own all dotted versions of your address:

  • john.smith@gmail.com
  • jo.hn.sm.ith@gmail.com
  • j.o.h.n.s.m.i.t.h@gmail.com

Cred ca voi incepe ca, periodic si din morive paranoice, cand intentioenz sa imi schimb parola de gmail sa o fac de 2 ori in aceeasi zi, adica prima data pun ceva aiurea, log off si logon si apoi pun ceva real, pentru ca google iti permite sa te conectezi cu vechea parola daca ai uitat-o pe cea curenta.

Nu pot sa renunt la contul gmail pentru ca folosesc un telefon Android si pe contul de gmail instalez aplicatii si fac back-up la address book si date si locatii si parole wifi.

Sau tocmai acesta este motivul sa renunt la Android si sa folosesc un telefon pe Linux: riscul de securitate nu compenseza serviciile oferite.


Ultimele pagini: RSS

Alte adrese de Internet

Categorii

Istoric


Atentie: Continutul acestui server reprezinta ideile mele si acestea pot fi gresite.