Что значит уметь читать сочинение по бакланову

Кому: erazmanov, #1

> Коды и сейчас-то не в каждом ТЦ проверяют

Я за два года пандемии ни разу не сталкивался с проверкой куаркодов. Живу в Москве, постоянно мотаюсь по стране в командировках. Максимум что видел — в некоторых гостиницах просят при заселении свежий ПЦР и/или справку об эпидокружении, но никогда куаркод.

Кому: ЧГКшник, #6

> Я за два года пандемии ни разу не сталкивался с проверкой куаркодов.

В воскресенье вернулся из Франции — во всех ресторанах при входе проверяют (сканят) код. Пару раз у друзей не прошло — «ну ладно, они же настоящие?!, проходите пожалуйтса!»

Маски во всех закрытых помещениях, те что с носами-пиписьками наружу, почти нет такого.

1) Двухфакторная авторизация — это скорее успокоительное. Базы или сливают сотрудники или их утягивают через дыры в софте, например SQL или веб сервера. Так было всегда и во всём мире.

Еще одна нехорошая штука связанная с двухфакторной авторизацией привязанной к смартфону. Смартфон можно забыть на работе, потерять, он может сломаться, причем без твоего участия. У меня как-то у четвертого айфона просто сдохла память. На ровном месте сама по себе. Что не удивительно ибо USB/SD и прочие флэшки дохнут обычно точно так же и внезапно. Пишешь файл, ошибка, потом флэшка не читается, не пишется или вообще не видна, в лучшем случае ее можно отформатировать на не весь объем. Причем равновероятно дохнут контроллер и сама память. Еще на большие праздники сотовые сети любят лежать. особенно в небольших городах, где сот мало, а народа достаточно, чтобы их положить, если все сразу звонить начнут.

А QR коды замечательно проверяли в Тульской области во время пика прошлой волны ковида, в ноябре. Приходишь в ТЦ, а там у тебя спрашивают или код, или справку о вакцинации или медотвод. Поэтому продавцам конечно оно фигово, а покупателям было хорошо — никаких толп народа, 100 человек на весь магазин.

Кому: Kashtak, #5

> любой смартфон с фотокамерой и наличием доступа в интернет в состоянии дешифровать двумерный код в URL и открыть соответствующую веб страницу, на которой высвечивается твои ФИО, дата рождения, вакцина и её период действия.

> По-хорошему, там бы ещё и фотку лица показывать, чтобы паспорт к коду не предъявлять.

Прикинь, сколько эта процедура будет занимать времени в оживлённых местах. Если только не понаставят автоматы-считыватели с турникетами — прикинь, сколько это будет стоить денег

Кому: Kashtak, #5

> По-хорошему, там бы ещё и фотку лица показывать, чтобы паспорт к коду не предъявлять. Но админы, видимо, опасаются, что наличие на веб странице фотки серьёзно повысит нагрузку

Там не в нагрузке проблема, а в 152-ФЗ. Фотография, используемая для идентификации личности — это биометрические персональные данные, а в данной ситуации выходит, что некий левый хрен из некоей левой конторы запрашивает биометрию из государственной информационной системы. Во-первых, юридически процедуру фиксировать и правовые основания под это подводить — вообще хрен знает как. Во-вторых, вот в таком исполнении как сейчас все требования фстэк по информационной безопасности нужно свернуть в трубочку и на них сесть, чтобы оно работало.

Кому: Thunderbringer, #8

> Двухфакторная авторизация — это скорее успокоительное.

Тем не менее, отлично помогает от банального перебора паролей. Или от взломанной электропочты, через которую можно этот пароль сбросить, например.

Кому: Doom, #10

> Прикинь, сколько эта процедура будет занимать времени в оживлённых местах.

Зачем прикидывать? В Челябинске я это всё своими глазами вижу. В крупных ТЦ оставляют один единственный вход с улицы, внутри всё перегораживают турникетами, оставляя проход шириной метра два, и 1-4 охранника работают сканерами. С утра они ещё бодрые, поэтому после успешного сканирования надо предъявить паспорт. К вечеру процедура немного упрощается.

В будни всё происходит довольно шустро, но в выходные творится маленький адЪ. При этом у проходика собирается толпа плотно стоящих друг к другу, активно сопящих людей. Так победим вирус, чо.

В маленьких ТЦ на входе обычно сидит скучающий студент со встроенным сканером в глазу. Но попадаются и ответственные.

Посещаемость крупных ТЦ, по понятным причинам, заметно снизилась.

Кому: Kashtak, #13

> отлично помогает от банального перебора паролей.

Камрад, логинишься в ЛК госуслуг, открываешь профиль, далее Безопасность, далее Вход с подтверждением по смс. Я хз сколько лет она там присутствует, но присутствует точно. Аналогично в ЕСИА — логинимся, Настройки учетной записи, Включить двухэтапную проверку входа. Ты хоть проверяй информацию сначала.

Кому: split, #14

> Ты хоть проверяй информацию сначала.

Не проверил, действительно есть — извиняюсь перед причастными.

Кому: Kashtak, #13

>в выходные творится маленький адЪ

А вот если бы с помощью вакцины на самом деле чипировали, такой фигни не было бы! Просканировал чип и гуляй.

Кому: Kashtak, #13

> Тем не менее, отлично помогает от банального перебора паролей.

Что касается перебора паролей — давно практикуется такая защита, как временный бан после определенного количества ошибок ввода, например 10. Так, что подобрать не только сложный сгенерированный пароль вроде OirjAwAtDusyuabKovGhomghinhipCycsUjNetGedinVakcoc7, но и что-нибудь вроде 0n33YeDp1rAt3kiCk3dD0NKeyS@ss! просто вообще не получится никак.

Кому: Thunderbringer, #17

> временный бан после определенного количества ошибок ввода

Плохая практика на самом деле, которая рано или поздно приводит к проблемам. Более корректно увеличивать задержку ответа при ошибках логина. Тайм-аут скажем в 10 секунд делает перебор бессмысленным не хуже чем временный блок

Кому: Thunderbringer, #17

> давно практикуется такая защита, как временный бан

Таки да. Поэтому лучше перебирать пароли не одного пользователя, а сразу тысячи. Ещё лучше — миллиона. Совсем прекрасно не делать это с одного IP. А кто сказал, что будет легко?

50-символьные пароли — это, без балды, отличная защита. Но сколько людей об этом знают и используют? Это ж ещё надо уметь ловко пользоваться допсредством для его хранения/ввода (не запоминать же его), что может ввести в ступор неподготовленного пользователя.

С двухфакторной аутентификацией не получится первое и нет необходимости во втором.

Но и она, конечно, бессильна против банального подкупа ответственного лица. Хотя и тут есть методы, были бы желания и средства.

Кому: Thunderbringer, #17

> Что касается перебора паролей — давно практикуется такая защита, как временный бан после определенного количества ошибок ввода, например 10.

Когда-то слышал, что такое есть в закрытых паролем архивах RAR, но ничего не утверждаю — просто слышал.

Кому: Thunderbringer, #17

> Что касается перебора паролей — давно практикуется такая защита, как временный бан после определенного количества ошибок ввода, например 10

Перебор паролей никто на живом сайте не устраивает. Обычно сначала тем или иным способом воруется база данных, а потом её уже брутфорсят на локальной машине.

>сложный сгенерированный пароль вроде OirjAwAtDusyuabKovGhomghinhipCycsUjNetGedinVakcoc7

Задачей злоумышленников является не подбор пароля OirjAwAtDusyuabKovGhomghinhipCycsUjNetGedinVakcoc7, а подбор такого пароля, хэш которого совпадает с хэшем OirjAwAtDusyuabKovGhomghinhipCycsUjNetGedinVakcoc7 И тут нет большой разницы, насколько длинный и сложный пароль.

А типичные популярные пароли давно собраны в базы данных, которые есть у хакеров. И полная их проверка занимает доли секунды на хорошей машине.

Кому: nex, #21

Да они там вообще на этом повернуты, чипировались всем подряд ещё в доковидную эру!!!

Кому: ЧГКшник, #22

> тем или иным способом воруется база данных

Базы ж обычно (ну, я так думаю) шифруются, из бэкапа её фиг восстановишь на локальном серваке — у него должен быть соответствующий ключ или сертификат. И я не уверен, что его можно получить перебором.

> потом её уже брутфорсят

Если же база в расшифрованном виде уже есть в наличии — зачем что-то бутфорсить? Селект фром и «наслаждайтесь вашей пищей» )

По-моему, это имеет смысл только в том случае, когда удалось умыкнуть базу исключительно с юзерами и их паролями. Странно, но возможно.

> нет большой разницы, насколько длинный и сложный пароль

Спорное утверждение. Перебор паролей же всё равно будет. Иначе из чего хэш формировать? При большой длине пароля этот перебор дойдёт до него неизвестно когда. А это даёт время для контрмер.

Кому: Kashtak, #24

> Если же база в расшифрованном виде уже есть в наличии — зачем что-то бутфорсить

Затем что пароли в открытом виде в ней не хранятся. Хранится только их хеш. А тех кто хранит в открытом виде нужно забивать насмерть резиновым членом.

> При большой длине пароля этот перебор дойдёт до него неизвестно

Требуется найти не точный пароль, а любую последовательность символов, имеющую такой же хеш. Это называется коллизия

Кому: split, #25

> Хранится только их хеш.

Это я в курсе. Но базе же хранится и самое вкусное — личные данные пользователя или иная дорогостоящая информация. И если уж каким-то образом тащить базу, так именно с ней. Зачем нужен конкретно пароль пользователя? В банк с ним не зайдёшь — там сейчас везде двухфакторная аутентификация. Почту, наверное, полезно взломать. Так и там двухфакторная, необязательная по умолчанию, но обязательная (я так думаю) для людей с доступом к чему-то важному. Возможно ошибаюсь.

> Это называется коллизия

Я тут могу только с умным видом булькнуть что-то про «соль» и «низкую вероятность коллизии». И на этом мои знания практически исчерпаны ) Надо будет расширить горизонты.

Кому: Kashtak, #24

Способы украсть базы данных бывают самые разные, обычно проще всего дать на лапу админу, и он принесёт её на флешке вместе со всеми необходимыми ключами.

Ну и от сайта зависит. Где-то работают SQL -инъекции, где-то известные уязвимости известных cms. Да и старые винты с бэкапами можно на свалке поискать. Возможность восстановления из бэкапа опять таки зависит от прямоты рук создателей сайта. В какой-нибудь, прости Господи, Джумле бэкап можно раскатать на локальную машину, назначив себя админом и сайта и базы данных вообще без знания каких-либо паролей.

И да. Базу пользователей в большинстве случаев украсть проще, так как взаимодействие через форму логина идёт именно с ней.

А ещё бывает так, что воруют базы пользователей с каких-нибудь мусорных сайтов и форумов, а потом ищут тех же пользователей на фейсбуке, ютубе, мейлру или ещё где. У многих логины и пароли везде одинаковые. Сейчас с этим борются, хешируя пароли с солью, но когда-то была вольница.

>Если же база в расшифрованном виде уже есть в наличии — зачем что-то бутфорсить? Селект фром

Зависит от цели взлома. Если цель — украсть информацию о пользователях, это одно. А если надо именно войти под аккаунтом взломанного фраера, чтобы от его имени творить всякое, то это другое. Тут придётся подбирать пароль, так как в украденной базе лежит только хеш пароля.

>При большой длине пароля этот перебор дойдёт до него неизвестно когда

У длинного пароля может оказаться очень короткая коллизия (то есть слово, имеющее тот же самый хеш, что и пароль), на которую можно быстро наткнуться перебором. Тут невозможно предугадать. Так что после некоторой длины уже не важно, насколько сложный пароль. Основную роль начинает играть не его длина, а наличие коллизий.

Если пароль сгенерирован полностью случайно, то 10 символов обычно достаточно, чтобы успешно сопротивляться подбору.

Но если задача не взломать конкретного пользователя, а получить доступ к как можно большему числу аккаунтов, то просто перебирают самые распространённые пароли. Их не так много, по порядку примерно соответствует числу людей, что для современного компьютера очень быстро.

А ещё можно подбирать не пароли, а ответы на контрольный вопрос. Но это скорее творческая задача, чем машинная.

Мы когда-то по молодости в общаге развлекались, кто больше ответов отгадает для случайных адресов на мэйлру. За вечер можно было штук 10 контрольных вопросов разгадать, а значит и получить доступ к 10 почтовым ящикам.

Кому: ЧГКшник, #27

> обычно проще всего дать на лапу админу

98% of cyber attacks rely on social engineering.

43% of the IT professionals said they had been targeted by social engineering schemes in the last year.

21% of current or former employees use social engineering to gain a financial advantage, for revenge, out of curiosity or for fun.

56% of IT decision makers say targeted phishing attacks are their top security threat.

83% of global infosec respondents experienced phishing attacks in 2018, an increase from 76% in 2017.

30% of phishing messages get opened by targeted users and 12% of those users click on the malicious attachment or link.

Only 3% of targeted users report malicious emails to management.

98% атак полагаются на социальную инженерию

43% ит-специалистов сообщают, что были целью социальной инженерии за последний год

21% действующих или бывших работников используют социальную инженерию в корыстных целях, для мести или развлечения.

56% лиц принимающих решения в ИТ считают фишинг самой серьезной угрозой безопасности

83% респондентов были целью фишинговых атак в 18 году, по сравнению с 76% в 17-м.

30% фишинговых сообщений открываются пользователями, 12% пользователей, открывших сообщение, нажимают на фишинговую ссылку или открывают приложение

только 3% пользователей докладывают о получении подозрительных писем

(ц) https://purplesec.us/resources/cyber-security-statistics/

Если я правильно понял, аутсорсинговый будильник может помочь мне!

Я не наркоман!

У меня апноэ (как там оно пишется), так как я «отвратительно жирный».

Ходил к врачам, писали храп во сне, перенёс 2 недешёвые операции на носоглотке.

Но всё равно близкие, которые слышат как я дышу во время сна, приходят в ужас!