Το στέλεχος της Google και ερευνητής ασφαλείας Tavis Ormandy, που εντόπισε πρόσφατα μια ευπάθεια στο Chrome extension του AVG (Το WebTuneUp Chrome extension της AVG είχε σοβαρό κενό ασφαλείας (http://www.adslgr.com/forum/threads/912062-Το-WebTuneUp-Chrome-extension-της-AVG-είχε-σοβαρό-κενό-ασφαλείας?highlight=avg)), ανακάλυψε ένα νέο κενό σε άλλη μια εφαρμογή, αυτήν την φορά από την Trend Micro.

Με την εγκατάσταση του antivirus της Trend Micro γίνεται αυτόματη εγκατάσταση μιας επιπλέον εφαρμογής -του Password Manager- το οποίο εκκινεί αυτόματα. Ο Ormandy ανακάλυψε πως το Password Manager είναι γραμμένο σε Javascript (node.js) και κάνει χρήση μιας "αρχαίας" έκδοσης του Chromium, με αποτέλεσμα οι χρήστες του να "ανοίγουν" σε επιθέσεις και τα αποθηκευμένα passwords τους να είναι φανερά στο Internet.

Ο ερευνητής συνεργάστηκε με την Trend Micro για την επίλυση του σοβαρού προβλήματος και κυκλοφόρησε αναγκαστική αναβάθμιση μέσω του συστήματος ActiveUpdate, στις 11 Ιανουαρίου η οποία αντιμετωπίζει το σοβαρό ζήτημα.


Πηγή : Techspot (http://www.techspot.com/news/63470-security-researcher-finds-vulnerability-trend-micro-application.html)

Αντε πάλι τα ίδια.
Απο σήμερα passwords μόνον σε τεφτέρια.

Το μόνο ασφαλές password manager ειναι αυτό που φτιάχνει ο καθένας μας.

ενας λογος που δεν εμπιστευομαι τους διαχειριστες κωδικων (η αλλιως διαπιστευτηριων ) ειναι οτι κανει μπαμ για του ενδεχομενους εισβολεις .

δηλαδη αν υπαρχει συντονισμενη επιθεση , δεν χρειαζεται να ψαχνουν πως και που εχει αποθηκευσει ο καθε χρηστης τους κωδικους , αρκει να παραβιασουν την οποια εφαρμογη και να αποκτησουν προσβαση στια διαπιστευτηρια πληθους χρηστων και οχι απλως ενος .

KeePass FTW :)

Θα αναφερω ξανα (νομιζω καπου το εχω ξαναγραψει) τον τροπο ωστε να εχετε χιλιαδες διαφορετικα password και το μονο που θα χρειαζεστε ειναι να θυμαστε 2 πραγματα μονο.

1) Το δυσκολο κομματι του κωδικου
2) Το ευκολο κομματι του κωδικου

1) Πρωτα φτιαχνετε κατι δυσκολο που θα ειναι η βαση ολων των κωδικων σας :

πχ gx!yt#poe@

Σε αυτο το κομματι βαζετε οτι θελετε και ειναι αυτο που πρεπει να θυμαστε σιγουρα και μπορει να σας δυσκολεψει στην αρχη αλλα μετα απο μερικες επαναληψεις το χερι θα πηγαινει αυτοματα (Στη τελικη το σημειωνεται καπου για σιγουρια μεχρι να σας εχει μεινει)

2) Επειτα αυτο που χρειαζεται ειναι να βαζετε το πρωτο και τελευταιο γραμμα του καθε site/εφαρμογης (Ή τα πρωτα δυο γραμματα ή τα δυο τελευταια γραμματα) σε καποιο σημειο που επιθυμειτε (οπως αρχη και τελος ή στη μεση ή στο τελος ή γενικα οπου θελετε.

πχ αν αποφασισετε να βαζετε το πρωτο και τελευταιο γραμμα και να τα βαζετε μετα τη διεση θα εχετε :

- Για το adslgr : gx!yt#arpoe@
- Για το google : gx!yt#gepoe@

και παει λεγοντας...

πχ αν αποφασισετε να βαζετε τα πρωτα δυο γραμματα και να τα βαζετε στο τελος θα εχετε :

- Για το adslgr : gx!yt#poe@ad
- Για το google : gx!yt#poe@go

και παει λεγοντας...

Απλα και ομορφα οπως ειπαμε χιλιαδες διαφορετικοι κωδικοι με ελαχιστο κοπο και χωρις να χρειαζεται καποια εφαρμογη.

Θα αναφερω ξανα (νομιζω καπου το εχω ξαναγραψει) τον τροπο ωστε να εχετε χιλιαδες διαφορετικα password και το μονο που θα χρειαζεστε ειναι να θυμαστε 2 πραγματα μονο.

1) Το δυσκολο κομματι του κωδικου
2) Το ευκολο κομματι του κωδικου

1) Πρωτα φτιαχνετε κατι δυσκολο που θα ειναι η βαση ολων των κωδικων σας :

πχ gx!yt#poe@

Σε αυτο το κομματι βαζετε οτι θελετε και ειναι αυτο που πρεπει να θυμαστε σιγουρα και μπορει να σας δυσκολεψει στην αρχη αλλα μετα απο μερικες επαναληψεις το χερι θα πηγαινει αυτοματα (Στη τελικη το σημειωνεται καπου για σιγουρια μεχρι να σας εχει μεινει)

2) Επειτα αυτο που χρειαζεται ειναι να βαζετε το πρωτο και τελευταιο γραμμα του καθε site/εφαρμογης (Ή τα πρωτα δυο γραμματα ή τα δυο τελευταια γραμματα) σε καποιο σημειο που επιθυμειτε (οπως αρχη και τελος ή στη μεση ή στο τελος ή γενικα οπου θελετε.

πχ αν αποφασισετε να βαζετε το πρωτο και τελευταιο γραμμα και να τα βαζετε μετα τη διεση θα εχετε :

- Για το adslgr : gx!yt#arpoe@
- Για το google : gx!yt#gepoe@

και παει λεγοντας...

πχ αν αποφασισετε να βαζετε τα πρωτα δυο γραμματα και να τα βαζετε στο τελος θα εχετε :

- Για το adslgr : gx!yt#poe@ad
- Για το google : gx!yt#poe@go

και παει λεγοντας...

Απλα και ομορφα οπως ειπαμε χιλιαδες διαφορετικοι κωδικοι με ελαχιστο κοπο και χωρις να χρειαζεται καποια εφαρμογη.


Ναι αλλά το πρόβλημα είναι οτι ο κωδικός σου έχει ενα pattern, αν κάποιος απο κάποια άλλη σελίδα έχει πρόσβαση σε εναν, τότε δεν είναι δύσκολο να μαντέψει τον κωδικό σου σε άλλη σελίδα.

Θα αναφερω ξανα (νομιζω καπου το εχω ξαναγραψει) τον τροπο ωστε να εχετε χιλιαδες διαφορετικα password και το μονο που θα χρειαζεστε ειναι να θυμαστε 2 πραγματα μονο.

1) Το δυσκολο κομματι του κωδικου
2) Το ευκολο κομματι του κωδικου

1) Πρωτα φτιαχνετε κατι δυσκολο που θα ειναι η βαση ολων των κωδικων σας :

πχ gx!yt#poe@

Σε αυτο το κομματι βαζετε οτι θελετε και ειναι αυτο που πρεπει να θυμαστε σιγουρα και μπορει να σας δυσκολεψει στην αρχη αλλα μετα απο μερικες επαναληψεις το χερι θα πηγαινει αυτοματα (Στη τελικη το σημειωνεται καπου για σιγουρια μεχρι να σας εχει μεινει)

2) Επειτα αυτο που χρειαζεται ειναι να βαζετε το πρωτο και τελευταιο γραμμα του καθε site/εφαρμογης (Ή τα πρωτα δυο γραμματα ή τα δυο τελευταια γραμματα) σε καποιο σημειο που επιθυμειτε (οπως αρχη και τελος ή στη μεση ή στο τελος ή γενικα οπου θελετε.

πχ αν αποφασισετε να βαζετε το πρωτο και τελευταιο γραμμα και να τα βαζετε μετα τη διεση θα εχετε :

- Για το adslgr : gx!yt#arpoe@
- Για το google : gx!yt#gepoe@

και παει λεγοντας...

πχ αν αποφασισετε να βαζετε τα πρωτα δυο γραμματα και να τα βαζετε στο τελος θα εχετε :

- Για το adslgr : gx!yt#poe@ad
- Για το google : gx!yt#poe@go

και παει λεγοντας...

Απλα και ομορφα οπως ειπαμε χιλιαδες διαφορετικοι κωδικοι με ελαχιστο κοπο και χωρις να χρειαζεται καποια εφαρμογη.

Σαν να λέμε δηλαδή, μου βρήκαν ένα, μου τα βρήκαν όλα διότι νόμιζα ότι το κάνουν με το χέρι ή με το μάτι.

Οι τεχνικές pattern matching για το σπασιμο καποιου κωδικου ξεπερνούν την λογική που έχει ο καθένας που δεν έχει ασχοληθεί σοβαρά με κρυπτογραφία.

Με άλλα λόγια, συνταγή για αποτυχία - εφοσον βέβαια έχεις κάτι που αξίζει κάποιος να ασχοληθεί για να το σπάσει.

cool αλλα μπερδεψατε το οτι εδωσα ενα παραδειγμα απλο για να το κατανοησει ο κοσμος και οχι να το χρησιμοποιησουν αυτοματα ετσι.
Παραλλαγες πολλες μπορουν να γινουν πανω σε αυτο και προφανως δε το χρησιμοποιω ετσι...

Παρολα αυτα με βαση τις εφαρμογες που βλεπω οτι ειναι τρυπητηρια μαλλον δεν βλεπω και μεγαλες διαφορες με αυτο που προτεινω :P


pattern matching οταν εχεις πολλους κωδικους απο τον ιδιο χρηστη (αρα εχεις ηδη προβλημα) που σε απασχολουν αλλιως να κανεις pattern σε ενα κωδικο το βλεπω λιγο δυσκολο...

anyway εγω προτεινα κατι, διατυπωσατε ενστασεις καλοπροαιρετα , συνεχιζουμε :)

cool αλλα μπερδεψατε το οτι εδωσα ενα παραδειγμα απλο για να το κατανοησει ο κοσμος και οχι να το χρησιμοποιησουν αυτοματα ετσι.
Παραλλαγες πολλες μπορουν να γινουν πανω σε αυτο και προφανως δε το χρησιμοποιω ετσι...

Παρολα αυτα με βαση τις εφαρμογες που βλεπω οτι ειναι τρυπητηρια μαλλον δεν βλεπω και μεγαλες διαφορες με αυτο που προτεινω :P


pattern matching οταν εχεις πολλους κωδικους απο τον ιδιο χρηστη (αρα εχεις ηδη προβλημα) που σε απασχολουν αλλιως να κανεις pattern σε ενα κωδικο το βλεπω λιγο δυσκολο...

anyway εγω προτεινα κατι, διατυπωσατε ενστασεις καλοπροαιρετα , συνεχιζουμε :)

Καλά κάνεις και εγώ κάνω κάτι παραπλήσιο για τους κωδικούς εκτός απο κάποιους που θεωρώ σημαντικούς που δεν ακολουθώ το pattern

cool αλλα μπερδεψατε το οτι εδωσα ενα παραδειγμα απλο για να το κατανοησει ο κοσμος και οχι να το χρησιμοποιησουν αυτοματα ετσι.
Παραλλαγες πολλες μπορουν να γινουν πανω σε αυτο και προφανως δε το χρησιμοποιω ετσι...

Παρολα αυτα με βαση τις εφαρμογες που βλεπω οτι ειναι τρυπητηρια μαλλον δεν βλεπω και μεγαλες διαφορες με αυτο που προτεινω :P


pattern matching οταν εχεις πολλους κωδικους απο τον ιδιο χρηστη (αρα εχεις ηδη προβλημα) που σε απασχολουν αλλιως να κανεις pattern σε ενα κωδικο το βλεπω λιγο δυσκολο...

anyway εγω προτεινα κατι, διατυπωσατε ενστασεις καλοπροαιρετα , συνεχιζουμε :)

Ασφάλεια, κατανόηση και απλός χρήστης δεν πάνε μαζί φίλε.
Αυτός που θα τα δει αυτά που λες και δεν θα τα καταλάβει, θα συνεχίσει να έχει κωδικό 1234.
Και αυτός που θα τα δει και θα καταλάβει, θα καταλάβει επίσης ότι η μέθοδος αυτή δεν είναι ασφαλής.
Εξάλλου όπως είπε και ο sdikr θα το έκανε μόνο σε κωδικούς που δεν τον νοιάζει και αν χαθούν.
Δηλαδή, εκεί που μια χαρά θα δούλευε και το 1234.

Όσο για τις εφαρμογές, δεν είναι καθόλου τρυπητήρια. Όποια εφαρμογή έχει χιλιάδες χρήστες, θα έχει και θέματα ασφαλείας. Σημασία έχει να έχεις ένα σύστημα που όταν κάτι χαλάσει να ξέρεις ότι η απόκριση θα είναι άμεση και θα φτιαχτεί, όχι να ζεις στην ουτοπία ότι αυτό που έχεις είναι ασφαλές πολύ απλά επειδή δεν ασχολείται κανείς να το σπάσει.

Αυτό που χρειάζεσαι είναι εναν password manager που θα κρυπτογραφεί το αρχείο db με αναγνωρισμένο αλγόριθμο (πχ gpg) και δεν θα προσφέρει άλλες "ευκολίες" τύπου remote access. Νομίζω κάτι αντίστοιχο έκανε της trend micro + το ότι ήταν γραμμένος σε javascript(= γλώσσα που συγχωρεί λάθη).

πχ εγώ χρησιμοποιώ KeePassX που είναι crossplatform. (το KeePass είναι άλλο). Το μόνο που κάνω είναι το ανοίγω για εισαγωγή/εξαγωγή κωδικού και το κλείνω αμέσως. Τίποτα άλλο. Εξυπακούεται ότι το κρυπτογραφημένο αρχείο db το έχω σε 3-4 μέρη αντίγραφα ώστε να μην το χάσω ποτέ.

Τι διαφορές έχει το KeePassX από το KeePass; Λίγο που χάζεψα screenshots του μου φαίνονται ίδια.

Αυτό που χρειάζεσαι είναι εναν password manager που θα κρυπτογραφεί το αρχείο db με αναγνωρισμένο αλγόριθμο (πχ gpg) και δεν θα προσφέρει άλλες "ευκολίες" τύπου remote access. Νομίζω κάτι αντίστοιχο έκανε της trend micro + το ότι ήταν γραμμένος σε javascript(= γλώσσα που συγχωρεί λάθη).

πχ εγώ χρησιμοποιώ KeePassX που είναι crossplatform. (το KeePass είναι άλλο). Το μόνο που κάνω είναι το ανοίγω για εισαγωγή/εξαγωγή κωδικού και το κλείνω αμέσως. Τίποτα άλλο. Εξυπακούεται ότι το κρυπτογραφημένο αρχείο db το έχω σε 3-4 μέρη αντίγραφα ώστε να μην το χάσω ποτέ.

Το τι κανεις εσύ δεν έχει καμία σημασία φίλε. Σημασία έχει τι κάνει το πρόγραμμα. Αν νομίζεις ότι αυτό που κάνεις εμποδίζει το πρόγραμμα να έχει προβλήματα, κανεις τεράστιο λάθος, είναι περίπου σαν να λέμε οκ του έδωσα μόνο 5 δευτερόλεπτα να κάνει λάθος οπότε δεν πρόλαβε, ξεχνώντας ότι μπορεί να εκτελέσει εκατομμύρια εντολές μέσα σε αυτά τα πέντε δευτερόλεπτα.

Το GPG δεν είναι αλγόριθμος, είναι πρόγραμμα. Προφανώς αναφέρεσαι στο PGP το οποίο επίσης δεν είναι αλγόριθμος. Γενικώς σε όλα αυτά τα προγράμματα το αδύνατο σημείο δεν είναι ο αλγόριθμος κρυπτογράφησης που χρησιμοποιούν ούτε ότι δεν είναι ένα από τα γνωστά "crossplatform" όπως υπαινίσσεσαι, εξάλλου ποιος νοιάστηκε στην τελική για το cross platform. Ακριβώς το αντίθετο θέλουν οι χρήστες στα windows, ένα πρόγραμμα που να είναι φτιαγμένο από επαγγελματίες στον τομέα και όχι ερασιτέχνες του command line που, με την δικαιολογία του crossplatform φτιάχνουν προγράμματα που στα windows δεν έχουν καμία αξία.

To προβλημα όλων αυτών των προγραμμάτων δεν είναι η κακή χρήση αλγορίθμου, σχεδόν όλα χρησιμοποιούν κάποιο από τα 6 AES Finalists (Rijndael, Twofish κλπ) και επίσης όλα χρησιμοποιούν το μοντέλο RSA / Diffie Hellman για ασσύμετρα κλειδιά.

Το πρόβλημα τους είναι ο κακός προγραμματισμός, π.χ. η κακή χρήση μίας strcpy που μπορεί να οδηγήσει σε underrun αντί της ορθότερης strcpy_s, η κακή χρήση των δεικτών, κλπ. Δηλαδή, τα ίδια προβλήματα που έχουν όλα τα λογισμικά, με τη διαφορά ότι όταν το λογισμικό ασχολείται με την ασφάλεια, τα προβλήματα αυτά έχουν άλλη αξία ακριβώς επειδή δημιουργούνται θέματα ασφαλείας.

Όπως είπα και πριν όμως είναι πολύ καλύτερο να έχεις ένα πρόγραμμα που τα κενά ασφαλείας του λύνονται άμεσα επειδή το χρησιμοποιούν χιλιάδες χρήστες, παρά να έχεις ένα πρόγραμμα που σε έχει κοιμήσει στην ψευδαίσθηση ότι είναι ασφαλές (την ίδια ψευδαίσθηση που έχουν πολλοί στο linux) επειδή απλά κανένας δεν ασχολείται να το σπάσει (γιατί για να ασχοληθεί κάποιος θέλει κέρδος) αλλά αν ποτέ γίνει θα το πάρουν χαμπάρι πολύ λιγότεροι.

Την ίδια ψευδαίσθηση έχουν και όσοι χρησιμοποιούν ένα πρόγραμμα που προήλθε από το linux, νομίζοντας ότι θα τρέχει με τον ίδιο τρόπο στα windows ως cross platofm. Και ειδικά στο cross platform, το να νομίζει κάποιος ότι αρκεί να κάνει compile τον κώδικα σε windows και ότι το πρόγραμμα θα τρέξει χωρίς debugger, profiler, code analyzer, injection tester, και όλα τα σύγχρονα εργαλεία που υπάρχουν και ότι θα τη βγάλει με το ερασιτεχνικό printf, αυτός είναι κλασικό δείγμα ερασιτέχνη.

Το cross platform πέτυχε μόνο στις βιβλιοθήκες παιχνιδιών, π.χ. openGL , εκεί δηλαδή που ο κώδικας είναι δευτερευούσης σημασίας, σημασία έχουν τα δεδομένα (objects, sprites, shadows κλπ). Σε όλα τα άλλα είναι fundamentally doomed.

Κατά τη γνώμη μου, η μόνη λύση είναι να αλλάζεις συχνά password και να μην επαναλαμβάνεσαι :)