All Activity
- Today
-
vin88fans changed their profile photo
-
Fura curent cumatru', s-a ajuns la un nivel cu acele ilegalitati online intrucat te ia dupa sifoane si ponturi, in rest, se tin la sertar dosare. Se face munca de chinez cu scamuri sparte, fac 3 lei, trag 2 linii, beau 2 sticle de votka si saptamana urmatoare is filati rand pe rand urmand ca, in vremuri de seceta, DIICOT mai marcheaza 5-6-12 goluri. La urma urmei, le trebuie si lor activitate, nu pot sa ii ridice pe toti odata dar asta nu trebuia sa zic. 🙃 Spor la cioarda baieti, faceti stocuri cu baxuri de tigari, aia e moneda de schimb acolo, restul ne mancam linistiti omleta dimineata si ne bem seara berea; si de facem vreo prostie, o facem (doar) singuri.
-
beferry changed their profile photo
- Yesterday
-
Most44 started following Python datalogger in google sheets
- Last week
-
Virgilcom started following Chestii gratis
-
Comentati pe subiectul asta ca sa va creasca stima de sine 😂 Voi stiti doar despre lucrurile care s-au facut publice. Si da, tot ce a fost publicat a fost doar despre "hackerii" care au facut gainiarii. Au fost si baieti foarte destepti care au luat-o pe calea buna si acum au companii in domeniu sau lucreaza pentru companii foarte mari.
-
Înțeleg frustrarea ta, dar fiecare alege drumul pe care îl consideră cel mai potrivit pentru el. Ethical hacking și cybersecurity sunt domenii care nu doar că aduc venituri, dar contribuie și la un internet mai sigur. Criminalitatea cibernetică poate părea tentantă pentru un câștig rapid, dar riscurile și consecințele pe termen lung sunt enorme. Poți să faci bani și să-ți construiești o carieră solidă fără să îți compromiți integritatea.
-
vin88company changed their profile photo
-
ai votat cu lasconi, pacatosule care esti. Interlocutorul pacatos nu a ajuns sa cunoasca slava si imparatia apei 🤣
-
Ai trecut de la schimbat chei publice, la furat chei private. Hotaraste-te. Nu am zis ca nu se poate, am zis ca daca se face crypto corect, nu poate face nimic NSA. Si imi dai dreptate cu acele aplicatii care fac crypto corect si probabil de aceea sunt "date jos". Pup ca sa nu mai fi supy Vorbim de lucruri diferite, nu am zis ca nu ai dreptate cu capacitatile generale ale unor astfel de agentii, as fi vrut ca discutia sa fie mai tehnica. Atat s-a putut.
-
bancadoithuonggcasa changed their profile photo
-
Raman uimit de faptul ca oamenii au uitat ca cea mai sigura metoda de comunicare ramane telepatia si apeleaza la tot felul de aplicatii online pentru a purta discutii sensibile. De ce nu ne intoarcem la vechile practici ale stramosilor nostri daci? Nu are relevanta daca esti mafiot, vizigot, ostrogot, conteaza sa proiectezi informatiile dobandite din apa catre subconstientul interlocutorului.
-
Whatsapp, Signal, Telegram sunt compromise.
sinacor390 replied to sinacor390's topic in Securitate web
O completare sa fie mai clar pentru toata lumea. Exista doua tipuri de chat-uri E2EE. Categoria 1. Unele aplicatii de mesagerie E2EE sunt lasate de autoritati in pace: Whatsapp, Signal, Telegram, Session, Matrix/Element (nu e acelasi Matrix din articolul interlpol), XMPP, iMessage - toate aceste aplicatii folosesc username, phone number si nu chei publice (mai putin Session). XMPP si Matrix (element) sunt federative astfel MiTM se poate face de catre serverele federative unde discuti. Insa Whatsapp nu are open source interfata grafica si nici serverul, Signal nu are aplicatia de iOS open source, Telegram nu are open source serverul. Whatsapp si iMessage sunt recunoste ca au un feature care marea majoritate a utilizatorilor l-au activat din greseala. Acest feature numit "backup messages" stocheaza cheile private folosite de tine pe serverele lor. Pe iMessage acest feature iCloud backup este activat by default. Chiar daca serverul este open source (vezi Signal, Matrix, Session, XMPP ) asta nu inseamna ca serverul este onest si nu ruleaza un server custom care sa faca MiTM. Session, Matrix chiar daca sunt open source, autoritatile te pot targeta prin update ca nici dracu nu verifica update-ul. Anume utilizatorii targetati (pusi intr-un whitelist) sa descarce un build modificat prin care le compromite cheia privata. Cum s-ar putea face compromiterea prin update-uri ? PlayStore, AppStore - targeteaza utilizatorii dupa un ID prin care tu vei primirii un build modificat. Codul sursa de la PlayStore, AppStore nu este open source si mai mult decat sigur au un astfel de mecanism prin care poate targeta anumiti utilizatori dupa o adresa de email/user id. Categoria 2. Unele aplicatii de mesagerie E2EE sunt inchise de catre autoritati cu descinderi precum: Matrix, Sky ECC, EncroChat, Exclu, Ghost si ANOM (intra in categoria asta). Oare de ce europolul inchide anumite aplicatii de chat si pe altele le lasa in pace ? Inspecial ca aceste aplicatii de Chat inchise nu erau pe playstore ci veneau preinstalate cu telefoane dedicate ?? LE raspunsul ni-l ofera chiar europolul pe pagina respectiva. Citez Pentru mine e mai mult decat clar, Europolul declara ca celelalte aplicatii de mesagerie E2EE established pe piata au vulnerabilitati. -
Sefule exista si posibilitatea nu sa schimbe cheia publica, ci sa iti fure cheia privata. Daca ti-ar schimba cheia publica a contactului ar fi usor sa iti dai seama daca o verifici in fiecare zi. O alta metoda usoara ar fi sa adauge inca un contact invisibil in grup. Cel mai probabil asta fac ca sa fie mai stealthy. Astept acum un topic sa imi se aprobe prin care dovedesc ca aplicatiile de chat E2EE sunt compromise garantat.
-
MrGrj started following Ce calitati defineste un hacker?!
-
Uhm, ar fi misto daca am avea mai multe dezbateri de genu' asta. Chiar m-a tinut prins vreo 7 minute Adevaru' e probabil undeva la mijloc, iar problema principala cu aplicatiile astea moderne (d.p.m.d.v) este lipsa de educatie si increderea in servere. @koteri3692 - are dreptate din perspectiva existentei unei vulnerabilitati potentiale în aplicatiile E2EE care nu educa utilizatorii sa verifice manual cheile publice. Totusi, aceasta vulnerabilitate nu este o problema a criptografiei in sine, ci a implementarii și utilizarii acesteia. Intr-adevar, dacă Fane Pedala nu verifica manual cheile publice, un server compromis poate introduce o cheie falsa ==> atac MiTM. MiTM este posibil daca serverele sunt rau intentionate sau obligate sa colaboreze cu agentiile guvernamentale. @Nytro - este corect in teorie (exista mecanisme ex. certificare, verificare manuala care pot preveni atacurile MiTM). Insa aceste mecanisme nu sunt întotdeauna implementate sau utilizate corect în practica. Ceva exemple concrete: Signal permite verificarea manuala prin scanarea codurilor QR intre utilizatori. Verificarea asta face ca atacurile MiTM sa fie aproape imposibile, dar majoritatea utilizatorilor ignora acest pas. WhatsApp oferă opțiuni limitate de verificare a cheilor. Aplicatiile E2EE precum Signal nu utilizeaza CA-uri pentru a verifica cheile publice. In schimb, Signal se bazeaza pe trust local și pe verificari manuale. Așadar argumentul lui Nytro nu se aplica direct aplicatiilor de mesagerie. Legat de faptul ca NSA poate face MiTM pe TLS: este posibil în anumite conditii ex. compromiterea DigiNotar sau alte incidente legate de BGP hijacking bla bla. In ziua de azi, browser-ele moderne includ masuri ca HSTS (HTTP Strict Transport Security) și Certificate Transparency Logs pentru a preveni asta In aplicatiile de mesagerie astea nu exista, iar încrederea se bazeaza mai mult pe server. So my humble opinion: ce zice koteri3692 este un scenariu tehnic real, dar oarecum teoretic. Nytro subliniaza soluții valide, dar neaplicabile complet în lumea reala fara eductia corespunzatoare a userilor. pwp jos hacerii mei preferatzi PS: io nu-s hacer si imi place shaorma cu de toate
-
De ce Europolul si Interpolul au inchis o gramada de aplicatii de chat E2EE ? Mai multe aplicatii de chat au fost inchise precum Matrix, Sky ECC, EncroChat, Exclu and Ghost ? https://www.europol.europa.eu/media-press/newsroom/news/international-operation-takes-down-another-encrypted-messaging-service-used-criminals Stii de ce nu? Pentru ca whatsapp, signal, telegram au solutii prin care pot sa faca MiTM si sa fure cheile private de la utilizatori. Am discutat aici cum anumite state pot sa faca MiTM Nytro sa imi suga pula ca e superficial in gandire care nu se documenteaza corespunzator si nu tace inainte sa arate cat de prost e.
-
RandySwelm started following CVE-2024-9935
-
JasonSiz started following O generație ratată de hackeri
- Earlier
-
Probabil peste 10 ani nici notificare la 6 dimineata nu iti mai dau. Te trezesti direct in Desert pe undeva ca in Mad Max si o drona e trimisa spre tine sa te extermine ca cica esti Cyber Terorist.
-
Pe vremea aia era inca parfum. Google isi punea armata de avocati sa blocheze cererile respective si doar daca se ingrosa treaba dadeau informatiile mai departe. Iti trimiteau din timp o notificare prin care te avertizau ca a fost facuta o cerere legala sa dea mai departe informatiile pe care le au despre tine. Acum primesti notificare doar la 6 dimineata cand iti bat mascatii la usa.
-
Acum eu cred tu confuzi ceva. Exista doua tipuri de Man in the Middle si tu te gandesti ca doar unul exista. Atacul 1. Man in the Middle prin care NSA, ISPs schimba certificatul SSL prin care compromite domeniul whatsapp.com si te redirectioneaza catre un serverul administrat de NSA. Eu nu vorbeam de acest scenariu. Plus ca e in scenariu mai complicat ca totusi si serverul whatsapp ar trebui sa aibe baza de date si sa fie actualizat cu noul cod sursa al serverul web ca sa nu existe probleme de compatibilitate. Atacul 2. Man in the Middle prin care serverul whatsapp targheteaza anumiti utilizatori (gen Alice sau pe Bob) prin care inlocueste cheile publice a celor cu care comunica respectivii. Cred ca tu nu iei in calcul ca exista doua tipuri de atacuri bazate pe Man in the middle. Eu cand am inceput sa vorbesc de MiTM pe whatsapp, vorbeam de atacul nr 2. Ulterior am vorbit cum NSA poate sa compromita si certificatele SSL. Dar NSA nu s-ar chinui asa de rau ca META si Zuckerberg suge pula NSA-ului in fiecare zi.
-
Nu ai inteles, dar incepe sa se lege treaba. 1. Partea de criptare se realizeaza prin criptare simetrica unde cheile se schimba folosind cheia asimetrica 2. Partea de trust, de verificare, se realizeaza prin certificate sau semnaturi digitale Criptografie nu inseamna doar AES ci ai: criptare simetrica, asimetrica, semnaturi, hashuri, hmac-uri, certificate, authorities etc. De aceea procesul, normal, nu e doar cum am mentionat eu, doar am dat un exemplu basic. Asa cum pentru a obtine un certificat pentru "rstforums.com" a trebuit sa demonstrez ca am acces la rstforums.com (verificarile unui Root CA pentru a oferi un server certificate), asa aplicatiile precum WhatsApp sau altele au mecanismul lor de verificare prin SMS (de exemplu). Stiu ca era o aplicatie la care scanai un cod QR de la cealalta persoana pentru aceasta relatie de trust. Acest trust e un certificat - adica legatura intre o cheie publica si un utilizator, o identitate. Cum se intampla in browser, desigur, ai la baza acele Root CAs si intr-adevar, unele pot sa fie controlate de catre autoritatile americane, ruse, chineze sau orice altceva. Dar sunt si mecanism in place, inclusiv in browsere. Daca se schimba un certtificat, browser-ul nu permite accesul. Ce putin temporar. Revenind la WhatsApp, sau alte aplicatii desktop, modul de implementare nu e acelasi. Nu ai un Root CA care genereaza acele chei publice si private. Cheile sunt generate local, de catre telefon. Iar daca relatia de trust se face intr-un mod sigur (e.g. cum vezi cheia publica GPG a unuia pe Twitter-ul lui, sau ti-o da pe hartie), atunci totul o sa fie in regula, nimeni nu o sa poata face nimic. Se pare ca public key fingerprints sunt ceea ce foloseste Signal Protocol de exemplu. Tu pierzi din vedere tot acest proces si vezi lucrile la modul simplu in care se schimba niste chei publice, faci MiTM si kaboom, ai acces. Nu esti singura persoana care s-a gandit la asa ceva. Revenind la partea de monitorizare in cazul in care NSA are acces la root CAs, exista solutii simple: own PKI. Se pot genera usor root CAs, se pot verifica certificate emise si tot asa. Daca vrei sa comunica "secure" cu un server, o poti face, trecand peste orice paranoia, folosind aceasta metoda (de exemplu). Adica tu consideri trusted doar acel root CA. Criptografia ajuta mult, trebuie doar inteleasa si facuta corect. Si nu te mai supara atat ca nu are sens.
-
Doar daca erai angajat la NSA si aveai access la platforma XKeyScore. Din cate am inteles XkeyScore e accessibil si in Europa dar nu access la toata baza de date. Dar din cate as crede nu cred ca ai access la platforma XKeyScore. Mai incearca sa iti reamintesti parola.
- 1 reply
-
- 2
-
NSA garantat ca poata sa faca MITM pe TLS cetatenilor Americani. Cu siguranta NSA are cel putin un contract cu un issuer de Certificate Authority. Probabil exista firme paravan care sunt whitelsitate ca CA si ele sunt defapt controlate de NSA. Firmele de sunt whitelistate ca CA sunt trecute in browsere. Astfel NSA are capacitatea de a create certificate SSL care sunt acceptate de browsere. Stim deja ca NSA are solutii integrate direct la ISPs din SUA printre care Verizon, Xfinnity, Viasat Internet, AT&T. De ce ai crede ca nu ar putea targeta anumite grupuri de utilizatori de mare interes din SUA ca serverele de DN ale ISPs sa trimita certificate SSL create de NSA si care vor fi acceptate de browser / sistemul de operare. https://security.stackexchange.com/questions/71171/is-there-anything-preventing-the-nsa-from-becoming-a-root-ca Intrebarea mai revine, poate STS sa faca MITM pe TLS? Posibil, dar cred ca nu. STS-ul ar avea nevoie de firme paravan care sa fie CA si integrate in sistemul de operare, browsere. Cum aceste liste sunt whitelistate numai ce firme americane (Microsoft, Mozilla) e posibil sa nu. Poate NSA sa faca MITM pe TLS la cetateni Romani ? Trebuie ca NSA sa aibe access la ISPs autohtoni: Vodafone Romania, Orange Romania, Digi SA etc. As zice ca nu au access sau cel putin STS-ul nu stie daca au si cum au access. Deasemenea spoofing de certificate SSL ar putea fi verificate. Orice utilizator din Romania cand acceseaza un site web ar trebui sa primeasca acelasi certificate SSL. Poate sa faca NSA MITM prin Tor ? Da, pentru ca certificatele SSL sunt descarcate de la exit node-uri, dar e mai greu sa targeteze un anumit utilizator ca trebuie sa stie tot circuitu. Este TOR safe sa fie accesat pe clear web? NOPE
-
Ba vere tu te-ai nascut prost ? Ai cazut in cap cand erai mic? Ai dat macar o cautare pe GOOGLE cum Whatsapp, Signal iti poate face Man in the middle inlocuind cheile publice? Eu nu am dat pe google ca stiam cum functioneaza protocolul dupa ce am citit documentatia de la whatsapp (ceea veche) si documentatia de la signal. Nu trebuie nici un update, nici un exploit, nu trebuie nimic. Ei (Meta, respectiv Signal) pot rula doar un script de 10 linii de cod si iti fac MAN IN THE MIDDLE inlocuind cheia YYYY cu ZZZZ fara ca tu sa stii. Signal are posibilitatea sa vezi cheia publica, insa iti mai trebuie un alt canal securizat si sa o verifici manual. Pe whatsapp parca nici nu poti sa verifici. Cel putin ultima data cand am folosit whatsapp eu nu am avut acest feature. In fine. Da dracului un Google si aflii cum NSA poate sa iti faca man in the middle cu 10 linii de cod pe absolut toate aplicatiile de chat populare gen: Whatsapp, Signal, Telegram, Matrix, XMPP, iMessage . Sigur NSA poate sa faca MiTM cu complicitatea firmelor de mesagerie online integrand scriptului de 10 linii pe serverul lor. citeste aici explicatia pentru toti prostii care au IQ sub 70 https://security.stackexchange.com/questions/211828/man-in-the-middle-attacks-in-end-to-end-encryption https://medium.com/@mesibo-real-time-communication/enhancing-signals-end-to-end-encryption-algorithm-eliminating-man-in-the-middle-and-other-7ecb5b23a3df Ti-am explicat in 5 postari si tu tot comentezi ca e imposibil. Prostul din curtea scolii. Prostul pana nu comenteaza nu e fudul.
-
salut miam schimbat telefonul si mi-am pierdut una din adrese de email(am uitat parola) pot sa ma mai conectez pe acel cont?cum?
-
In unele privinte ai dreptate dar in mare parte te inseli si generalizezi foare mult. Se vede de la o posta ca esti adeptul teoriei conspiratiei si tinzi spre extremism. Ceva exista dar nu pe atat de mult cat consideri tu... Eu ma retrag din discutie ca am altele mai bune de facut si imi pierd timpul sa discutam despre cai verzi. O zi buna iti doresc
-
Pot lua datele plimbate live, nu cele stocate. Ma rog, e alt subiect Nici eu nu folosesc, nici macar vpn. Ce sa ia? pozele cu cafea si troleala?
-
Da, complet de acord, peste tot se intampla asa. Dar asta doar cu datele pe care le au firmele. Daca firmele nu au date, nu au ce sa ofere. Cam asta e baza pe care ar trebui sa mearga persoanele ca Gigel de mai sus, PhD in cryptography. Sau, solutia cea mai simpla: nu face mizerii si nu ai de ce sa iti faci griji. Daca toate datele mele de pe Internet ar ajunge publice, probabil ar fi maxim 2-3 zile de mici caterinci si asta ar fi tot.
-
Alte trebi interesante https://www.ripe.net/about-us/news/youtube-hijacking-a-ripe-ncc-ris-case-study/ https://thehackernews.com/2014/03/google-public-dns-server-traffic.html https://www.bankinfosecurity.com/who-hijacked-googles-web-traffic-a-11699 https://blog.lacnic.net/en/a-brief-history-of-the-internets-biggest-bgp-incidents/ Daca nici cand ne referim la BGP si stiva tcp/ip nu ne gandim la baza comunicatiilor, atunci ar trebui sa ne apucam de vandut vibratoare roz de pe temu. Pe bune, nici nu au sens discutiile despre whatsapp si oarece amarate de keys.