Ας περιηγηθούμε στο διαδίκτυο με ασφάλεια...

[gkontoletas]

Αν και ήμαστε εκτός θέματος πρέπει να σημειώσω για ακόμα μια φορά ότι η Microsoft είναι από τις πιο ηθικές εταιρίες στον χώρο της πληροφορικής, εδώ και 40 χρόνια πουλάει προϊόντα και όχι διαφημίσεις.
Αντίθετα η Google σου δίνει τυράκι για να σε πιάσει στη φάκα, δεν είναι τυχαίο ότι σε ΗΠΑ και Ε.Ε. διεξάγονται έρευνες για τον τρόπο λειτουργίας της και εκμετάλλευσης των προσωπικών δεδομένων των χρηστών.

 

[Nikos_s3]

1) Η διαφήμιση είναι προϊόν.
2) Έρευνες γίνονται και είναι λογικό , γιατί απλά έχει γιγαντωθεί. Τελευταία πάντως θυμάμαι την microsoft να κηνυγούν για πρακτικές μονοπωλίου (βλέπε επιλογή browser στα windows) και να επιβάλλουν μέτρα...
3) Τώρα για την ηθική το αφήνω...μη σου χαλάσω το απόγευμα...

 

[gkontoletas]

είσαι λάθος και στα τρια...

 

[gkontoletas]

(Reuters) - A federal judge has rejected Google Inc's request to dismiss a lawsuit accusing the technology company of invading the privacy of users of its Google Wallet electronic payment service by sharing their personal information with outside app developers.

Απίστευτο, μα κάνει τέτοια η Google???

http://www.reuters.com/article/2015/04/02/us-google-wallet-lawsuit-idUSKBN0MT1RI20150402

 

[gkontoletas]

πόσο αθώες είναι οι επεκτάσεις των browsers?
πόσο ελέγχονται πριν ανέβουν στο επίσημο store?
πόσο αληθινή είναι η βαθμολογία τους?

Webpage Screenshot, έχει κατέβει 1.2 εκ. φορές, έχει βαθμολογία 4.5 στα 5, υπήρχε μέχρι πριν λίγες ημέρες στο Google Chrome Store και έκλεβε δεδομένα από τους χρήστες

https://heimdalsecurity.com/blog/webpage-screenshot-leaks-private-data-million-users/

 

[Παναγιώτης Μελάς]

Γιώργο, καλημέρα. Βλέπω πως είσαι μέσα, έτσι δεν ειναι?
Αν ναι, να ανοίξω ένα - ξεχωριστό - νήμα-θεματάκι, που μου έβγαλε το PC μου με τα Win 8.1.

 

[gkontoletas]

Ετοιμάζομαι να φύγω, θα βάλω ένα link του θέματος εδώ, είναι κλασικό phishing
Παναγιώτη δεν έχει σχέση το λειτουργικό.

http://www.avsite.gr/forum/threads/ΠΡΟΣΟΧΗ-Κίνδυνος-υποκλοπής-στοιχείων-σας-στην-Εθνική-Τράπεζα.144544/#post-1957515

 

[Παναγιώτης Μελάς]

Εντάξει, Γιώργο, καλό ταξίδι και καλά να περάσεις.

Αυτό που ήθελα να γράψω, δεν είχε σχέση με το ζήτημα του τραπεζικού hacking, αλλά με το γεγονός ότι το PC μου που έχω τα Win 8.1 πάνω του, ξαφνικά "αποφάσισε" από μόνο του να μη μπαίνει στο Internet. Όμως το βρήκα, κάτι είχε αλλάξει, ούτε ξέρω πώς, σε σχέση με τον λεγόμενο "διακομιστή μεσολάβησης". Συγκεκριμένα, στις ρυθμίσεις LAN, για κάποιο (άγνωστο) λόγο, από τον "Αυτόματο Εντοπισμό Ρυθμίσεων" είχε τικαριστεί το "Χρησιμοποιήστε έναν Διακομιστή Μεσολάβησης για το LAN". Το άλλαξα ξανά στο Αυτόματο, και όλα καλά.

Καλό Πάσχα και Καλή Ανάσταση.
-

 

[gkontoletas]

Αυτό έγινε από το e-mail που άνοιξες, κάποιο script άλλαξε τον DNS για να σε κατευθύνει στο phishing site και να υποκλέψει τα στοιχεία.
Τέτοιου είδους scripts παίζουν σε όλα τα λειτουργικά συστήματα.

 

[gkontoletas]

Η πρωταπριλιάτικη φάρσα της Google ήταν ένα τεράστιο κενό ασφάλειας...
Ο επιτιθέμενος μπορούσε να εκμεταλλευτεί τον κώδικα στο google.com που παρουσίαζε τη λέξη "Google" ανάποδα και να ενσωματώσει τις ρυθμίσεις της Google σε άλλο domain με αποτέλεσμα να ξεγελά τον ανυποψίαστο χρήστη.

http://news.netcraft.com/archives/2...prank-inadvertently-broke-their-security.html

 

[wizzy]

Μιας και δεν βρήκα, πιο κατάλληλο θέμα, ας ρωτήσω εδώ:

Για ποιο λόγο ο Firefox και ο IE αναγνωρίζουν (κι αποδέχονται) ένα SSL Certificate, ενώ ο Chrome όχι; Συγκεκριμένα, μπαίνοντας σε αυτό το site, από Chrome, το "λουκέτο" έχει ένα "Χ" από πάνω του και το πρόθεμα "https" είναι διαγραμμένο. Σε Firefox και IE, δεν συμβαίνει αυτό.

(να σημειώσω ότι το site δουλεύει κανονικά και με τους τρεις browsers, οι οποίοι βρίσκονται στις πιο πρόσφατες εκδόσεις τους)

 

[gkontoletas]

το certificate χρησιμοποιεί τον παλιό αλγόριθμο SHA-1 που έχει πολλά θέματα με την ασφάλεια, καλό θα ήταν να ζητηθεί η επανέκδοση του certificate με τη χρήση του SHA-2.

 

[wizzy]

Άρα ο Chrome, καλά κάνει και δεν το δέχεται, σωστά;

 

[gkontoletas]

Καλά κάνει, βέβαια την έχει πατήσει άσχημα στο παρελθόν

http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx
http://googleonlinesecurity.blogspot.gr/2014/09/gradually-sunsetting-sha-1.html

 

[gkontoletas]

H Google στις 29-4-2015 έδωσε ένα πρόσθετο για τον Chrome που προειδοποιεί τους χρήστες σε περίπτωση που χρησιμοποιούσαν τα στοιχεία εισόδου στις υπηρεσίες της Google σε άλλες ιστοσελίδες εκτός της accounts.google.com, με αυτό τον τρόπο προστατεύει τους χρήστες από το γνωστό phishing ειδοποιώντας τους να αλλάξουν άμεσα των κωδικό τους.

Στις 30-4-1015 ο Paul Moore είπε "The suggestion that it offers any real level of protection is laughable" μιας και με 8 γραμμές κώδικα κατάφερε να αποτρέψει την εμφάνιση της προειδοποίησης στον χρήστη.
Η έκδοση του Password Allert 1.4 που δόθηκε στις 30-4-2015 μετά το demo του Moore κάλυψε την τρύπα ασφάλειας.. update post #119


http://arstechnica.com/security/201...ly-exploit-that-nukes-googles-password-alert/

 

[Nikos_s3]

Συμπέρασμα...: η Google σε 24 ώρες διόρθωσε το κενό και όλα καλά (αμφιβάλλω αν υπήρχε έστω και μία περίπτωση phising στο μεταξύ)....Αν ήταν η microsoft θα περιμέναμε μετά από 2-3-4 Τρίτες μπας και...
btw, δε βρίσκω Γιώργο το θέμα που λογικά θα πρέπει να έχεις ανοίξει για τα κενά ασφαλείας και όλα τα κουλά της μικρομαλακής σε desktop και mobile εκδόσεις...

 

[gkontoletas]

Διάβασε το νήμα από την αρχή και θα καταλάβεις ότι αναφέρονται τα πάντα όλα...εκτός από τα Windows Phone που είναι το μόνο λειτουργικό που δεν έχει ακόμα κανένα απολύτως θέμα.....

αμφιβάλλω αν υπήρχε έστω και μία περίπτωση phising στο μεταξύ

είναι λάθος η σκέψη σου, το iternet είναι τεράστιο και αρκούν nanoseconds για μια μαζική επίθεση που μπορεί να προσβάλει εκατομμύρια συστήματα και χρήστες.

 

[Nikos_s3]

 

[gkontoletas]

H Google στις 29-4-2015 έδωσε ένα πρόσθετο για τον Chrome που προειδοποιεί τους χρήστες σε περίπτωση που χρησιμοποιούσαν τα στοιχεία εισόδου στις υπηρεσίες της Google σε άλλες ιστοσελίδες εκτός της accounts.google.com, με αυτό τον τρόπο προστατεύει τους χρήστες από το γνωστό phishing ειδοποιώντας τους να αλλάξουν άμεσα των κωδικό τους.

Στις 30-4-1015 ο Paul Moore είπε "The suggestion that it offers any real level of protection is laughable" μιας και με 8 γραμμές κώδικα κατάφερε να αποτρέψει την εμφάνιση της προειδοποίησης στον χρήστη.
Η έκδοση του Password Allert 1.4 που δόθηκε στις 30-4-2015 μετά το demo του Moore κάλυψε την τρύπα ασφάλειας..

http://arstechnica.com/security/201...ly-exploit-that-nukes-googles-password-alert/

On Thursday, Ars reported that a new service that warns when Google account users' passwords are phished had been bypassed by a drop-dead simple exploit, just 24 hours after Google had rolled out the Chrome plugin. Within hours of publication, Google issued an update that blocked the exploit. Now the same researcher has figured out a way to block the new version, too.

http://arstechnica.com/security/201...f-password-alert-blocking-bypass-is-bypassed/

 

[gkontoletas]

Rombertik malware, αν καταλάβει ότι το καταλάβατε προσπαθεί να καταστρέψει τον Master Βoot Record του δίσκου

The process by which Rombertik compromises the target system is a fairly complex with anti-analysis checks in place to prevent static and dynamic analysis. Upon execution, Rombertik will stall and then run through a first set of anti-analysis checks to see if it is running within a sandbox. Once these checks are complete, Rombertik will proceed to decrypt and install itself on the victims computer to maintain persistence. After installation, it will then launch a second copy of itself and overwrite the second copy with the malware’s core functionality. Before Rombertik begins the process of spying on users, Rombertik will perform once last check to ensure it is not being analyzed in memory. If this check fails, Rombertik will attempt to destroy the Master Boot Record and restart the computer to render it unusable. The graphic below illustrates the process.

http://blogs.cisco.com/security/talos/rombertik