Leaderboard

Autor: Nytro @ Romanian Security Team Pentru ca tot au aparut zvonuri cum ca NSA ar face MITM (Man in The Middle) - pe intelesul tuturor - ar intercepta traficul pe Internet pentru a spiona ce face lumea, ar trebui sa ne informam putin despre cum sa ne pastram anonimitatea fata de astfel de probleme. Articolul este destinat persoanelor care folosesc Mozilla, nu presupunea folosirea unor VPN-uri ci pur si simplu vreau sa prezint cateva setari pe care le puteti face in browser pentru a creste siguranta in cazul in care se incearca decriptarea traficului. Primul lucru pe care il recomand e sa va instalati acest addon pentru Firefox: https://addons.mozilla.org/ro/firefox/addon/calomel-ssl-validation/ Screenshot: Addon-ul e foarte util din mai multe privinte: 1. Va permite intr-un stil foarte simplist sa vedeti cat de puternica este encriptia folosita pe site-urile vizitate 2. Va permite sa vedeti in detaliu cum s-a realizat encriptia, acordand "puncte" pentru algoritmii folositi 3. Va permite sa faceti mai multe setari utile Am inceput sa scriu acest articol deoarece Facebook, Google si alte site-uri importante, in mod implicit, ofera o encriptie (simetrica) foarte slaba: RC4 - 128 de biti! Mai multe detalii despre algoritmul RC4 si despre problemele sale gasiti aici: https://en.wikipedia.org/wiki/RC4#Security Practic articolul se rezuma la cum puteti forta Firefox sa foloseasca niste algoritmi mai puternici si mai siguri. Cum functioneaza SSL/TLS Nu vreau ca acest articol sa se transforme despre un articol SSL/TLS, dar trebuie sa precizez cateva lucruri de baza. SSL/TLS sunt niste protocoale, mai exact sunt niste reguli care trebuie indeplinite pentru a se putea realiza o conexiune sigura intre calculatorul vostru si site-ul pe care il vizitati. TLS e practic o versiune imbunatatita a SSL-ului. Versiunile SSL 1.0, 2.0 si 3.0 sunt vechi si nu ar mai trebui folosite, mai ales deoarece e cunoscut faptul ca au probleme de securitate. TLS 1.0 e o versiune imbunatatita de SSL 3.0 iar TLS 1.1 si TLS 1.2 sunt versiuni mai noi de TLS. Realizarea unei conexiuni SSL se face astfel: 1. Se realizeaza conexiunea TCP (nu intru in detalii) 2. Clientul (browser-ul) trimite "Client Hello" catre server. In request sunt specificate: versiunea SSL/TLS, de cele mai multe ori, default, TLS 1.0. Exemplu: TLS_DHE_RSA_WITH_AES_256_CBC_SHA 1. TLS = TLS sau SSL, protocolul 2. DHE = Diffie Hellman Exchange, algoritmul pentru schimbul de chei 3. RSA = Algoritmul folosit pentru autentificare 4. AES_256_CBC = Algoritmul folosit pentru encryptia simetrica (CBC e modul in care e folosit algoritmul AES pe blocuri) 5. SHA = Algoritmul folosit pentru validarea integritatii datelor (hash) 3. Serverul raspunde cu "Server Hello" in care raspunde cu versiunea suportata, de exemplu TLS 1.0 si cu cipher suite-ul (algoritmii folositi pentru encruptie) ales 4. Serverul trimite certificatul (sau certificatele), prin care se identifica. Mai exact, spune: "Uite, aceasta este dovada ca eu sunt www.cia.gov". Iar certificatul, pentru a fi recunoscut de browser ca fiind valid, trebuie sa fie semnat de catre o autoritate in domeniu: VeriSign sau alte companii recunoscute ca legitime pentru a semna certificate, deoarece si eu pot crea un certificat pentru domeniu "www.cia.gov", dar va fi semnat de Nytro, nu de VeriSign si probabil aveti mai multa incredere in ei decat in mine. 5. Clientul verifica daca certificatul este in regula, iar daca totul este ok, se face schimbul de chei. Adica se face encriptia asimetrica: se face schimbul de chei folosind algoritmul RSA (cred ca cel mai ok), DH (Diffie Hellman) sau ECDH (DH pe curbe eliptice) in functie de cipher-suite-ul ales de server din lista trimisa de client. x. Folosind cheile schimbate mai sus, se realizeaza encriptia datelor folosind algoritmul pentru criptarea simetrica (AES de exemplu) folosind cheile schimbate la "Key exchange". Dimensiunea cheilor depinde de cipher-suite. De exemplu, daca se foloseste AES pe 128 de biti, pentru a se "sparge" prin bruteforce datele trimise, e necesara incercarea a 2 ^ 128 (2 la puterea 128) de chei. Daca algoritmul este insa RC4, cum exista multe atacuri cunoscute impotriva acestui algoritm, sunt sanse mult mai mari ca o astfel de encriptie sa poata fi sparta intr-un timp mult mai scurt. Ce putem face? Dupa cum ziceam, in mod implicit, browserele trimit lista de cipher-suite completa iar serverul de obicei alege un algoritm simplu si rapid ca RC4, atat pentru viteza de incarcare a paginilor, cat si pentru compatibilitate cu browsere mai vechi. Noi il putem insa forta sa aleaga un cipher mai puternic prin simpla modificare a listei de cipher-suite-uri pe care browser-ul o trimite catre server, eliminand cipher-suite-urile "slabe" ca RC4. Setari in Mozilla Toate setarile pentru SSL se vor face navigand la pagina de configurare: about:config Pentru simplitate cautati: security.ssl Screenshot: De aici putem dezactiva anumite cipher suite-uri. Nu pot sa va spun cu certitudine care sunt sigure si care nu, dar va pot recomanda sa alegeti RSA (key exchange) si AES (pe 256 de biti). Eu am dezactivat tot in afara de RSA_AES_256_SHA: Puteti opta si pentru folosirea curbelor eliptice, in afara unui PRNG (Pseudo Random Number Generator) bazat pe curbe eliptice in care s-au descoperit probleme si se presupune ca ar putea fi un backdoor al celor de la NSA si in afara faptului ca NSA colaboreaza cu NIST (cei care definesc standardele de "siguranta") si ca astfel NSA ar putea influenta anumite curbe eliptice (de aceea am zis ca prefer RSA), puteti folosi curbe eliptice deoarece sunt mai putin consumatoare de procesor si mai "puternice". Rezultatul Inchidem browser-ul si il redeschidem si: Si suntem mai SIGURI. De asemenea, TLS 1.1 si TLS 1.2 sunt suportate de Firefox incepand cu Firefox 24 dar sunt DISABLED in mod implicit (probabil incomplet implementate). Pentru a le activa, in pagina de "about:config" cautati: security.tls Si modificati valorile: - security.tls.version.min = 0 (SSL 3.0) - security.tls.version.max = 1 (TLS 1.0) In valorile: - security.tls.version.min = 1 (TLS 1.0) - security.tls.version.max = 3 (TLS 1.2) IMPORTANT: Exista potibilitatea de a avea probleme cu stabilirea comunicatiei TLS pe servere mai vechi! In acest caz singura posibilitate este sa reactivati niste cipher-suite-uri mai slabe sau sa nu mai vizitati acel site. Daca aveti intrebari sau probleme le astept aici. Thanks, Nytro

@Matt Daca te deranjeaza semnatura mea gaseste-ti alt forum:)) Ai o logica de toata jena,fara suparare Am probleme serioase ca ti-am spus sa "taci in pula mea?" Vezi-ti tu de stirile tale si eu imi vad de semnatura mea ,hai sa terminam cu offtopicul!

Sincer pe mine ma enerveaza categoria "Bine ati venit" ...mi se pare foarte fake...in general prima impresie e mereu fake , ca atunci cand te duci la interviu in costum si cravata si dupa te duci la birou in trening ....Nu vad rostul pentru care un user sa se prezinte cu cea ce "stie" el....daca chiar stie ceva o sa vada lumea in timp ... Username-ul il vedem si noi , iar teoretic nu avem de ce sa ii stim numele real (ce naiba e forum de hacking nu de gatit) plus ca sunt foarte multi trolleri si frustrati care de abia sa le demonstreze nou-venitilor cat de jmecher sunt ei si ce valoare au ei in fata la dusmani....iar asta ii respinge pe multi posibili utilizatori si nu face bine la forum...

Îmi cer scuze dac? nu am ales bine categoria, îns? sunt nou pe forum ?i nu am g?sit alt? categorie în care a? putea încadra acest post. Ok, dac? a?i încercat vreodata s? sparge?i un cont de facebook (?i a?i reu?it s? afla?i parola sau m?car s? o schimba?i) sau a?i încercat s? v? conecta?i la contul vostru dintr-o loca?ie sau un device diferit, cel mai probabil a?i fost întâmpina?i de urmatorul mesaj: Probabil au urmat organe genitale, cristo?i, dumnezei, sfin?i s.a.m.d. Adev?rul e c? o companie ca FB cu o capitalizare de 110 miliarde s-a gândit la riscul c? pu?ti de 16 vor reu?i s?-i prosteasc? utilizatorii cu tehnici primitive de phishing. Coinciden?a face c? de obicei persoanele care cad prad? tehnicilor de phishing sunt acelea?i care trimit poze în pu?a goal? prin fb messenger, c? deh, cine o s? le sparg? lor parola abc123. L?sând gluma la o parte, Facebook Checkpoint este o m?sur? destul de eficient? pentru a descuraja amatorii. Dac? te încume?i s? te apuci s? recuno?ti pozele, vei observa cu stupoare c? în unele poze nici m?car nu apar persoane, ci logouri, iar în altele tagul apare pe persoane multiple. Dac? te apuci s? examinezi fiecare persoan? în parte î?i vei lua ?eap? când vei fi aflat cu stupoare c? exist? ?i o limit? de timp. Din fericire, tot acest rahat poate fi evitat dac? reu?e?ti s? proste?ti facebookul c? te loghezi de pe un device deja utilizat. În primul rând, s? analiz?m cum identific? facebook un device. Mul?i cred c? ar fi vorba de cookieuri, îns? asta este fals. Chiar daca î?i elimini cookieurile din browser, facebook nu î?i va trânti un roadblock data viitoare când te loghezi. Defapt totul se bazeaz? pe 2 parametrii: loca?ia ?i browserul. 1. Loca?ia Facebook î?i determin? loca?ia bazându-se pe IP. Avantajul aici este c? cei mai mul?i dintre noi avem IP Dinamic (adic? se schimb? de fiecare dat? când î?i resetezi routerul), astfel c? Facebook va accepta orice IP care are o loca?ie apropiat? fa?? de cele utilizate anterior. S? lu?m exemplu un atacator din Bucure?ti ?i o victim? din Caransebe?. Facebook nu va recunoa?te IP-ul din Bucure?ti, cel mai probabil generând un checkpoint, mai ales dac? atacatorul a schimbat parola. Îns? dac? atacatorul ar putea ob?ine un IP în Caransebe? (folosind un proxy, un VPN, un TOR exit node sau cel mai bine un bot) Facebook nu va observa nimic suspect. De exemplu, acestea sunt IP-urile care ar putea fi asociate unui host din caransebe?: 79.116.144.0 - 79.116.144.255 79.116.146.0 - 79.116.146.255 79.116.148.0 - 79.116.149.255 79.116.153.0 - 79.116.159.255 79.116.168.0 - 79.116.168.255 79.116.172.0 - 79.116.173.255 81.196.88.0 - 81.196.91.255 86.35.22.0 - 86.35.22.255 În total 4352 de IP-uri. Un atacator suficient de motivat va putea s? sparg? m?car un host cu unul dintre aceste IP-uri ?i s?-l transforme în curv?, folosindu-l pe post de VPN. Lucrurile se simplific? dac? victima noastr? s-a conectat la facebook de pe mobil, IP-urile atribuite dispozitivelor mobile ne?inând cont de loca?ie. 2. Browserul Pentru a ad?uga înc? un strat de securitate, Facebook compar? ?i browserul folosit. Aici nu sunt multe de zis, informa?iile sunt ob?inute din headerul HTTP, anume HTTP_USER_AGENT, un ?ir de caractere ce identific? fiecare browser în parte, cu tot cu versiune ?i sistem de operare. De exemplu: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.65 Safari/537.36 identific? browserul Google Chrome, versiunea 29.0.1546.65 pe un sistem de operare Mac OS X 10.8.5. Aici este mult mai simplu s? proste?ti facebookul, existând numeroase pluginuri pentru firefox care î?i permit s? bagi ce vrei tu. Modificând acest ?ir de caractere po?i face facebookul s? cread? chiar c? ai intrat de pe aplica?ia de facebook de pe android sau iOS. R?mâne totu?i întrebarea cum afl?m loca?ia ?i browserul victimei? R?spunsul este la fel de simplu, când cre?m pagina de phishing stoc?m în fi?ierul nostru, pe lâng? user ?i parol? ?i urm?toarele informa?ii: $_SERVER['REMOTE_ADDR']; ?i $_SERVER['HTTP_USER_AGENT']; Sper c? a fost util acest tutorial, a?tept orice p?reri, critici sau sugestii

Care e pretul?E original sau fake? Bafta

pretul este de : 50 RON si da este originala, de ce crezi oare ca am pus si imagini intuitive, nu te duce capu sau intrebi asa sa te aflii in treaba.

@sebyarword : Ai probleme serioase amice.Daca te deranjeaza asa mult stirile mele gaseste-ti alt forum.Daca ai invata ceva din fiecare stire pe care o postez eu nu ti-ai mai pune link cu likes primite la semnatura.