OHJohansen Skrevet 30. august 2013 Rapporter Del Skrevet 30. august 2013 To utviklereblåste forbi all sikkerheten.? Dropbox kan hackes Lenke til kommentar
Lucifer24 Skrevet 30. august 2013 Rapporter Del Skrevet 30. august 2013 Viss man først har tilgang til brukerens pc, så kan man stort sett bryte seg inn i hva som helst den brukeren har. En enkel keylogger og man har tilgang til alt. Det eneste man trenger er litt tid. Og med en trojaner så trenger man ikke besøke pc'en flere ganger heller. Er ikke pc'en i bruk, så har man mulighet til å bruke forhåndslagrede passord viss brukeren har det. 2 Lenke til kommentar
Unlimited LTD Skrevet 30. august 2013 Rapporter Del Skrevet 30. august 2013 Vel, det kan virke oppsiktsvekkende, men husk at vi har de følgende lover om sikkerhet: Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore Law #2: If a bad guy can alter the operating system on your computer, it's not your computer anymore Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore Law #4: If you allow a bad guy to upload programs to your website, it's not your website any more Law #5: Weak passwords trump strong security Law #6: A computer is only as secure as the administrator is trustworthy Law #7: Encrypted data is only as secure as the decryption key Law #8: An out of date virus scanner is only marginally better than no virus scanner at all Law #9: Absolute anonymity isn't practical, in real life or on the Web Law #10: Technology is not a panacea Dette angrepet bekrefter bare lov #3; hvis man har fysisk tilgang til datamaskinen, så er det ikke din datamaskin lengre. 1 Lenke til kommentar
Foxboron Skrevet 30. august 2013 Rapporter Del Skrevet 30. august 2013 "? Dropbox kan hackes" Ok, ja. Ikkno nytt her. "...der man har tilgang til brukerens datamaskin." Da har dem jo tatt en stor omvei. Full tilgang til brukerens PC, RE Python kode og hacke rundt? Hva med å bare sjekke Dropbox mappa og kopiere alt på en minnepenn? 4 Lenke til kommentar
Storebj0rn Skrevet 30. august 2013 Rapporter Del Skrevet 30. august 2013 det ser jo ut som om de har vist at dette ikke er 2-faktor autentisering, du trenger bare en faktor, og det er maskinen. Så blir det spennende om noen greier å eskalere dette til et enda nyttigere angrep... "Attacks always get better, they never get worse." Lenke til kommentar
G Skrevet 30. august 2013 Rapporter Del Skrevet 30. august 2013 Viss man først har tilgang til brukerens pc, så kan man stort sett bryte seg inn i hva som helst den brukeren har. En enkel keylogger og man har tilgang til alt. Det eneste man trenger er litt tid. Og med en trojaner så trenger man ikke besøke pc'en flere ganger heller. Er ikke pc'en i bruk, så har man mulighet til å bruke forhåndslagrede passord viss brukeren har det. Åh, så da kommer du inn i nettbanken, og bankID også? Hvordan skal du gjette den tilfeldige koden fra bankens kodekalkulator? Selv om det kanskje går an å knekke algoritmen som slike kalkulatorer bruker, så må du altså først vite om du kan knekke kodekalkulatorene. Lenke til kommentar
Unlimited LTD Skrevet 30. august 2013 Rapporter Del Skrevet 30. august 2013 Åh, så da kommer du inn i nettbanken, og bankID også? Hvordan skal du gjette den tilfeldige koden fra bankens kodekalkulator? Selv om det kanskje går an å knekke algoritmen som slike kalkulatorer bruker, så må du altså først vite om du kan knekke kodekalkulatorene. Litt forskjell på å bryte banksikkerhet og Dropbox da. Det de viste var at du trenger ikke To-Faktor autentisering for å koble deg til dropbox via API-et. Så da trenger man bare noen verdier fra en PC som allerede har installert Dropbox, så kan man koble seg til fra en annen PC med en egen klient. Altså, Dropbox bruker ikke to-faktor autentisering. Det er vel det som er mest oppsiktsvekkende. Men mener å forstå i slutten av dokumentet at Dropbox går over til en mer avansert login prosedyre snart, som gjør at denne hacken ikke går lengre? Er det riktig forstått? Lenke til kommentar
Lucifer24 Skrevet 30. august 2013 Rapporter Del Skrevet 30. august 2013 (endret) Åh, så da kommer du inn i nettbanken, og bankID også? Hvordan skal du gjette den tilfeldige koden fra bankens kodekalkulator? Selv om det kanskje går an å knekke algoritmen som slike kalkulatorer bruker, så må du altså først vite om du kan knekke kodekalkulatorene. Det er selvfølgelig litt mer komplisert, men ikke umulig. Jeg sender bare brukeren til en falsk innloggingsside og gir brukeren en feilmelding når koden er tastet inn, brukeren prøver så å logge inn en gang til og jeg sender en ny feilmelding. Er jeg heldig så får jeg 2-3 koder før brukeren gir opp. Etter det så logger jeg inn i nettbanken og tømmer den for penger. Endret 30. august 2013 av Lucifer24 Lenke til kommentar
Lucifer24 Skrevet 30. august 2013 Rapporter Del Skrevet 30. august 2013 (endret) Litt forskjell på å bryte banksikkerhet og Dropbox da. Det de viste var at du trenger ikke To-Faktor autentisering for å koble deg til dropbox via API-et. Så da trenger man bare noen verdier fra en PC som allerede har installert Dropbox, så kan man koble seg til fra en annen PC med en egen klient. Altså, Dropbox bruker ikke to-faktor autentisering. Det er vel det som er mest oppsiktsvekkende. Men mener å forstå i slutten av dokumentet at Dropbox går over til en mer avansert login prosedyre snart, som gjør at denne hacken ikke går lengre? Er det riktig forstått? Vet ikke om de bytter til noe mer avanser, men det spiller uansett ingen rolle så lenge uvedkommende har kontroll på pc'en, for da er de som bestemmer hva brukeren ser. Endret 30. august 2013 av Lucifer24 Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 31. august 2013 Rapporter Del Skrevet 31. august 2013 Dersom en først benytter tjenester som dropbox er det nok lurt med bruk av f.eks. TrueCrypt i tillegg. Ellers er jeg litt enig med kommentarene over; Dersom en først stjeler tilgang til en PC er det meste en relativt smal sak, det blir liksom ikke helt det samme som når noe kan hackes for utsiden. Lenke til kommentar
XmasB Skrevet 2. september 2013 Rapporter Del Skrevet 2. september 2013 Lagrer ingenting sensitivt i Dropbox uten at jeg har lagt det i en TrueCrypt container først. Det er selvfølgelig litt mer komplisert, men ikke umulig. Jeg sender bare brukeren til en falsk innloggingsside og gir brukeren en feilmelding når koden er tastet inn, brukeren prøver så å logge inn en gang til og jeg sender en ny feilmelding. Er jeg heldig så får jeg 2-3 koder før brukeren gir opp. Etter det så logger jeg inn i nettbanken og tømmer den for penger. Det vil ikke fungere. Kodene i nyere kodebrikker bruker tre ting: en klokke, en unik nøkkel og en hemmelig algoritme. Med mindre du simultant logger deg inn i i brukerens bank (som brukeren) sitter du bare igjen med gamle koder uten verdi. Det betyr også i praksis at om planen er å ta penger ut av konto, må du også ha en ny gyldig kode for dette. Er du heldig prøver brukeren flere ganger, og forer deg med koder slik at du har en gyldig kode til en betaling. Men det blir mye flaks inn i bildet også. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå