• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    LITTLEBOYAnonymita na internetu :: TOR - FREENET - FREEPROXY - ...
    OVERDRIVE
    OVERDRIVE --- ---
    Mam prosbu, pozivate nejake intrusion detection systemy, scripty, binarky?
    Pokud, tak jaky. Docela by me zajimalo, po cem koukat, nemam s tim skoro zadne zkousenosti. Nasel jsem zajimavou vec [firmu]: https://en.wikipedia.org/wiki/Netwitness coz jsou spis forenzi toolly, ale obecne me zajima ruzna forma IDS a forenze... Linky ocenim zvednutym placem ;]
    MATT
    MATT --- ---
    Researchers mount successful attacks against Tor network—and show how to prevent them
    http://phys.org/news/2015-07-mount-successful-tor-networkand.html
    QWWERTY
    QWWERTY --- ---
    OVERDRIVE: no .. nejlepsi firemni ntb, kdy Java je nejvetsi bezpecnostni zlo a nemuzu ji updatovat, protoze pod tou novou nechodi firemni tooly :D
    OVERDRIVE
    OVERDRIVE --- ---
    btw, doporucuju, kdyz uz mame hromadu 0day-u zejo:

    Keep your Firefox healthy with a quick checkup — Mozilla
    https://www.mozilla.org/en-US/plugincheck/
    OVERDRIVE
    OVERDRIVE --- ---
    Tak jo, zeptej se na specifikaci, a pak si ji gogoogli, zejo.... [sorry, proste jsem se nechtene zeptal driv, nez jsem si nasel primarni zdroj] : http://arxiv.org/pdf/1507.05724v1.pdf
    OVERDRIVE
    OVERDRIVE --- ---
    Predpokladam, ze lokalni osazenstvo zaznamenalo TOR v podani HORNET zejo?
    Uz to je nekde nejak popsane podrobne [specifikace], pripadne existuje uz nejaka aplikace?

    Researchers claim they’ve developed a better, faster #Tor

    http://t.co/5uDpSzdj55

    #hornet #security #privacy #toReadMore
    OVERDRIVE
    OVERDRIVE --- ---
    Jeste jednou Hacking Team, tentokrat hack, aby to behalo ve vmWare, a co to vlastne dela:

    Galileo RCS - Running an espionage operation - 4ARMED
    https://www.4armed.com/blog/galileo-rcs-running-espionage-operation/

    Na rootu napsal Jenda Hrach hezky clanek:

    Rozbor malware od Hacking Teamu: jak se používá? - Root.cz
    http://www.root.cz/clanky/rozbor-malware-od-hacking-teamu-jak-se-pouziva/
    OVERDRIVE
    OVERDRIVE --- ---
    msm1267 writes: Two Belgian security researchers from the University of Leuven have driven new nails into the coffin of the RC4 encryption algorithm. A published paper, expected to be delivered at the upcoming USENIX Security Symposium next month in Washington, D.C., describes new attacks against RC4 that allow an attacker to capture a victim's cookie and decrypt it in a much shorter amount of time than was previously possible. The paper "All Your Biases Belong To Us: Breaking RC4 in WPA-TKIP and TLS," written by Mathy Vanhoef and Frank Piessens, explains the discovery of new biases in the algorithm that led to attacks breaking encryption on websites running TLS with RC4, as well as the WPA-TKIP, the Wi-Fi Protected Access Temporal Key Integrity Protocol.

    links @ http://it.slashdot.org/...15/07/17/019235/new-rc4-encryption-attacks-reduces-plaintext-recovery-time
    OVERDRIVE
    OVERDRIVE --- ---
    NSA releases Linux-based open source infosec tool - Security - News - iTnews.com.au
    http://www.itnews.com.au/News/406509,nsa-releases-linux-based-open-source-infosec-tool.aspx

    Earthquake Retrofit writes: The NSA's systems integrity management platform — SIMP — was released to the code repository GitHub over the weekend. NSA said it released the tool to avoid duplication after US government departments and other groups tried to replicate the product in order to meet compliance requirements set by US Defence and intelligence bodies. "By releasing SIMP, the agency seeks to reduce duplication of effort and promote greater collaboration within the community: the wheel would not have to be reinvented for every organisation," the NSA said in a release.
    OVERDRIVE
    OVERDRIVE --- ---
    Tady je chyba "alternative chains" rozebrana vcelku polopaticky

    OpenSSL CVE-2015-1793: Separating Fact from Hype
    http://blog.trendmicro.com/...security-intelligence/openssl-cve-2015-1793-separating-fact-from-hype/
    OVERDRIVE
    OVERDRIVE --- ---
    Ha tak jsem dostal hlasku, ze TextSecure existuje i pro iOS devices:

    Signal - Private Messenger on the App Store on iTunes
    https://itunes.apple.com/us/app/signal-private-messenger/id874139669?mt=8
    OVERDRIVE
    OVERDRIVE --- ---
    NYX: genialni, prese a jasne. poznavam sve prakticke poznatky z ruznych trainigu v kazde vete toho textu...

    MMchodem loukam, ze textSecure uz uplne opustilo SMS.
    Nejdriv jsem z toho byl VELMI rozcarovany a pak jsem to pochopil. Metadata a statisticka analyza jsou svine...

    Od te doby co mam [dopln pejorativum k closed source resenim] jablecnej telefon, tak s TextSecure mam vcelku smulu
    OVERDRIVE
    OVERDRIVE --- ---
    PEPAK:

    ten mailinglist si promysli. typicka situace: chces, aby existovalo nejake jadro lidi, kteri o necem rozhoduji, ti se bavi sifrovane a pak jeden z nich odejde, a uz dal do skupiny nema patrit. jak se vyresi distribuce tohohle stavu? jak vyresis treba to, ze do mailinglistu nekdo pribude, a bude potrebovat celou historii [typicky odesel jeden ze reditelu a novy po nem potrebuje prebrat celou komunikaci]?
    tech problemu je tam cela rada, kdyz se pokusis na neco takoveho napsat specifikaci, zjistis, ze to bohuzel do vsech dusledku vlastne nejde udelat rozume, bezpecne a funkcne.
    Da se to vyresit prave expiracemi a revokacemi, subklici a master keyem, ale dobry reseni to neni.

    AD expirace: dobre reseni to rozhodne je: treba me se ted stalo, ze jsem zmenil valnou cast sveho zivota, nejaky cas jsem nemel sve servery [vlastne je nemam ani ted], propadly mi domeny, nekolik mesicu jsem vicemene nebyl na netu... defacto vsechny kontakty uvedene ve starem klici uz nemaji smysl. Expirace to vyresila za me, proste jsem nebyl dostupny, za tu dobu klice propadly.
    Ja navic zmenil vetsinu zarizeni, takze ac klice samozrejme mam, nejsem schopen snadno obnovit celou jejich infrastrukturu : nacpat je do vsech telefonu, do vsech ruznych mailovych klientu na vsech ruznych mistech, zmenit jejich kontakty [promazat defacto vsechny sub-keye a zmenit kontakt v master key]....

    Takovy klic chces bud revokovat, nebo chces aby propadnul, kdyz nemas moznost jej revokovat.
    Clovek, ktery prepise cely obsah sveho klice je nekdo jiny, nez ten, kdo klic vyrvarel, a jako takovy by mu mel byt treba u daneho klice RADIKALNE zmenen status na WOT.

    Dalsi vec, proc je expirace dobra je ... a ted nevim jak se to jmenuje... proste to, ze stare zpravy nesdili s novejma klice, coz vede k mensi pravdepodobnosti nejakeho leaku, prolomeni atd.
    NYX
    NYX --- ---
    OVERDRIVE: ja myslim, ze k PGP se velmi dobre vyjadruje development ideology TextSecure :)

    TextSecure/contributing.md at master · WhisperSystems/TextSecure · GitHub
    https://github.com/WhisperSystems/TextSecure/blob/master/contributing.md

    VYHULENY_UFO
    VYHULENY_UFO --- ---
    OVERDRIVE: ja teda enigmail mam defaultne v thunderbirdu. //gentoo distro

    co se tyce principu private/public key, to uz se nevysvetluje na klasice vsech klasik.. Alici a Bobovi?

    Alice and Bob - Wikipedia, the free encyclopedia
    https://en.wikipedia.org/wiki/Alice_and_Bob
    PEPAK
    PEPAK --- ---
    OVERDRIVE: ... Tak to bylo mysleno. - OK, s tím už bych neměl problém. Jen je to něco trochu jiného, než co jsi původně napsal :-)

    O expiraci klíče nejsem přesvědčen, že je dobrá vlastnost. Fakticky totiž nic neřeší - pokud dojde k nějakému katastrofickému prolomení, tak expirace stejně přijde příliš pozdě; pokud jde jen o použití aktuálně doporučovaných parametrů šifry, tak to stojí a padá s tím, že nástroj pro vytváření klíčů je uživateli udržován aktualizovaný, což je podle mě zcela iluzorní představa.

    Šifrovaný mailinglist je principiálně trivialita. Nevím ovšem, jestli jde s pomocí PGP implementovat, ale z hlediska principů šifry znamená odeslání jednoho souboru N adresátům jen použití více veřejných klíčů, přičemž každý zašifruje jeden společný symetrický klíč. Znamená to tedy vyřešit problém seznamu veřejných klíčů pro všechny členy mailinglistu, ale ani na tom nevidím nic těžkého - jednoduše při registraci do mailing listu budu kromě e-mailu vyžadovat i veřejný klíč uživatele a odesílací robot všechny nasbírané klíče použije. Jediná komplikovanější věc tam je, že odeslání zprávy bude výpočetně náročné, ale 1) bude to mít sublineární nároky, a 2) pokud mám ambici dělat šifrovaný mailinglist, tak musím s nějakým tím výkonem počítat...
    OVERDRIVE
    OVERDRIVE --- ---
    PEPAK:

    Kdyz sifrujes, pouzivas public-key protistrany a pises zpravu, protistrana pouziva private key, aby si ji precetla.
    Kdys podepisujes, pouzivas svuj private key a pises zpravu, a protistrana pouziva public key, aby si podpis overila pri cteni.

    Tak to bylo mysleno.

    Jinak nejsou problem drobne rozdily, ty nevysvetluju NIKOMU, pochopit web-of-trust nebo proc bych mel mit podepsany vlastni klic, to je proste nad moznosti vetsiny "ne-Admin" level useru. Navic, kdyz jim reknes, ze WOT je potencionalni riziko bezpecnosti a ze key-share zverejnuje nekam tvuj email, a ze si jde napsat bota, ktery vyzvedne vsechny klice na key-serveru a pak zacne posilat spam, tak te s tim stejne poslou do ....

    Ale to, ze hodne lidi neda ani zakladni princip, viz ten sign-encrypt rozdil, to uz neni drobnost a bez toho to proste nejde pouzivat. Kolikrat se mi za posledni rok stalo, ze si nekdo precet nebo poslech mou prednasku, udelal si klic a pak mi poslal svou secure cast.

    Pripadne, ze treba expirace klice je docela hezka vlastnost a k cemu je revokace. TL;TR.

    Pritom treba Enigmail ma tendenci "jen-fungovat", pripadne nefungovat, kdyz neco neni dobre: nesedi email v klici, klic je expired/revoked, klic neni signed...

    Pokud nekdo tohle dokaze rozume rozsirit do telefonu, a mezi vsechny klienty, pak to bude bezesporu lepsi.
    Samozrejme zustavaji problemy typu group-chat, kterej proste nezmanagujes [zkousel jsi nekdy promyslet sifrovanej mailinglist?]

    Atd. Je to velkej problem, protoze to lidi proste musej chapat. Zajimave, ze treba SSL/SSH tohle proste implementovalo relativne natolik transparentne, ze vetsina BFU ani nevi, ze sifruji. A to chces!
    PEPAK
    PEPAK --- ---
    OVERDRIVE: Podpis je reverzní funkcí k Encrypt pouze u RSA. U jiných asymetrických šifer ne. A IMHO je to přesně ta nepodstatnost, na kterou si stěžuješ, pro běžné používání je matematický princip šifry/podpisu zbytečný.
    OVERDRIVE
    OVERDRIVE --- ---
    Musim rict, ze tohle me rozesmalo, a bohuzel je to porad jeste pravda



    Jinak je to z dost duleziteho clanku na tema #keybase
    konecne nejaky projekt, ktery se snazi zpristupnit PGP normalnim userum... musim rict, ze jsem uz nekolikrat tedka vzda vysvetlovani PGP principu a to predevsim proto, ze kdyz clovek narazi na "IT", ktery si mysli, ze vsechno zna, narazi defacto na neprostupnou barieru otazek a ono nejde vysvetli neco tak snadno jako kdyz onen jedinec RTFM. Zjistil jsem, ze otazky na PGP se tocej kolem nepodstatnosti, ale tihle lide casto ani nejsou schopni pochopit, jak funguje princip PUBLIC/SECURE key. Vysvetlit jim pak, ze podpis je reverzni fce k encryption, to uz je UPLNE neprustrelne...

    Stejne moc nechapu, proc zrovna projekt ENIGMAIL neni treba defaultni plugin do Thunderbirdu, to by taky vcelku pomohlo...

    jo a ten clanek: https://keybase.io/blog/2015-07-15/keybase-raises-series-a
    KOCOURMIKES
    KOCOURMIKES --- ---
    Kliknutím sem můžete změnit nastavení reklam