имам проблем с хакери

[djadomraz]

Именно, тя помага само срещу това. Срещу запомняне на креденциалите в браузъра не помага . Ако човек е решил да е невнимателен, нищо не може да му помогне. Пак опираме до култура, внимание и пазене на ценните неща. Но пък тъпия фейсбук не е като онлайн банкиране по важност де .

 

Както добре знаем хората имат навика да ползват една и съща парола за email-a си, фейсбука, skype ... и .... paypal.. a да и за електронното банкиране...

 

Бях дал на жена ми паролата за едното банкиране - като ми каза къде е проверила сметката моментално ѝ хлопнах телефона и блокирах всичките си карти, след това надлежно смених паролите на всичките електронни банкирания. После ми се сърди 1 седмица че съм бил параноичен Не че паролите за всички карти са ми еднакви просто за наказание блокирах и нейната и смених и онази парола с 18 символна с главни, малки, препинателни значи и цифри.. някак успя да я научи

[tedy]

Еми те затова са измислили сертификатите за всички банкирания, и ако нямаш сертификат, най-много да можеш да провериш балансите си .

То май по тоя признак, у нас сме едни от най-подсигурените дори в световен мащаб .

[RaptoR]

Какъв идиот трябва да си, че да влизаш в акаунта си - било то мейл, фейс, да не говорим за банка - от публична машина с неконтролиран достъп?!?!? Е това е нещо, което никога не мое ми се случи, както се пее.

[tedy]

Е що.. на всеки може да му се наложи да си влезе поне в поща, от публично място, не е престъпление. И аз гледам да избягвам, даже скоро нямам спомен да ми се е случвало, но на доста хора им се налага. А в тия случаи няма спасение, не знаеш дали няма сложен кейлогер или др. такива. Дори SSL/TLS да е криптирана връзката, остава проблема с кейлогера (виртуалната клавиатура помага доста за намаляне на риска), затова хардуерни сертификати като ел. подпис и др. са доста добро решение, което обаче е неудобно, и все пак вирт. клавиатура, в допълнение към изключено помнене в браузъра, е някакъв минимум за публични места.

[djadomraz]

Какъв идиот трябва да си, че да влизаш в акаунта си - било то мейл, фейс, да не говорим за банка - от публична машина с неконтролиран достъп?!?!? Е това е нещо, което никога не мое ми се случи, както се пее.

 

Гледай да не даваш пароли на жена си (примерно) тогава Щото то и на мен не може да ми се случи ама има хора които не мислят че има проблеми да влезнат в някой такъв акаунт от компютър с 18 вируса и 25 троянеца. Както и да си държат като парола четирибуквена комбинация съвпадаща с началото на името им за акаунта. Като я хакнаха 1 път и загуби $50 ѝ дойде акъла - сега ме слуша То е щото и аз съм гаден - казах 2 пъти после ѝ споменах че това ще стане и после ще злорадствам.... е стана - верно 2 години почаках но стана

[mordeath]

напротив фесбука е наи важното нешто на компутера, като не му разбираш не прави коментари-

Откога станаха "хакери" тези, които могат да ползват кейлогер ...аз имах за хакери някакви маниаци, които имат уменията да крадат информация от банките, а пък то какво било...

 

 

Ти мен не ме гледай ами виж какво си написал -компуера ,фесбука,наи,нешто.

Когато пък ти критикуваш поправи първо себе си.

[CyberHill]

Както добре знаем хората имат навика да ползват една и съща парола за email-a си, фейсбука, skype ... и .... paypal.. a да и за електронното банкиране...

 

Бях дал на жена ми паролата за едното банкиране - като ми каза къде е проверила сметката моментално ѝ хлопнах телефона и блокирах всичките си карти, след това надлежно смених паролите на всичките електронни банкирания. После ми се сърди 1 седмица че съм бил параноичен Не че паролите за всички карти са ми еднакви просто за наказание блокирах и нейната и смених и онази парола с 18 символна с главни, малки, препинателни значи и цифри.. някак успя да я научи

 

Ако ще и 55 символна да е паролата, жена ВИНАГИ ще я запомни Стига да има нещо вътре де...

Аз, от обществени PC-та гледам да не влизам... за това си ползвам smartphone-a, поне да избегна варианта вируси и други навлеци

За банкирането - има сертификати, така че... не става с хакери тип ГУХ ( както каза @victory)

 

П.С. Най ме кефи, някой мой познати, на които всички пароли, са им запаметени в IE. Нищо не помнят и като седна на тяхния PC да проверя нещо, след излизане пускам да кажем ccleaner-а и след това редят пъзел дъъъъълго време ( коя парола как беше..... къде беше.... )

[Antares]

Но пък тъпия фейсбук не е като онлайн банкиране по важност де .

Уви, за някои хора е.

----

Иначе за влизането от публични места с потенциални кийлогъри - решението е сравнително просто, проблемът е, че не трябва да има някой зад теб (който да зяпа в монитора). Пример - паролата ти е g0sh032. Отваряш notepad, пишеш g0pelsh13na032 и след това с мишката селектваш g0, copy/paste, после sh, copy/paste, 032 - copy/paste. Да го 'фане с кийлогъра ако иска!

 

 

 

[victory]

Уви, за някои хора е.

----

Иначе за влизането от публични места с потенциални кийлогъри - решението е сравнително просто, проблемът е, че не трябва да има някой зад теб (който да зяпа в монитора). Пример - паролата ти е g0sh032. Отваряш notepad, пишеш g0pelsh13na032 и след това с мишката селектваш g0, copy/paste, после sh, copy/paste, 032 - copy/paste. Да го 'фане с кийлогъра ако иска!

Шъ го фане по тоз' начин... ако е настроен да прави скрийншотове

Функцията е следната: пипнеш нещо - шот. Няма значение дали е клик от мишката или натиснат бутон на клавиатурата. Лошото е, че не можеш да изтриеш и шотовете, защото те се ъплоудват на някое ftp или ти се пращат по пощата. По този начин се хваща и виртуалната клавиатура, която е вградена - чрез скрийншотове. За тази цел се ползва по-друг тип ВК, а най-добре (най-лесно) е да ползваш програма за съхраняване на пароли в портейбъл вариант, която автоматично ти попълва данните в полетата. Kaто тази:

http://www.roboform.com/

[CyberHill]

Изостанал съм сериозно...

 

 

[tedy]

Ти мен не ме гледай ами виж какво си написал -компуера ,фесбука,наи,нешто.

Когато пък ти критикуваш поправи първо себе си.

Човекът съвсем ясно нарочно ги написа така тия думи, толкова ли не разбра.., още повече Overdrive мисля е доказал, че пише все пак грамотно в този форум.

 

Ако ще и 55 символна да е паролата, жена ВИНАГИ ще я запомни Стига да има нещо вътре де...

Аз, от обществени PC-та гледам да не влизам... за това си ползвам smartphone-a, поне да избегна варианта вируси и други навлеци

За банкирането - има сертификати, така че... не става с хакери тип ГУХ ( както каза @victory)

 

П.С. Най ме кефи, някой мой познати, на които всички пароли, са им запаметени в IE. Нищо не помнят и като седна на тяхния PC да проверя нещо, след излизане пускам да кажем ccleaner-а и след това редят пъзел дъъъъълго време ( коя парола как беше..... къде беше.... )

Мда, само не оставяй сертификатите инсталирани на публичния комп, че ако ти знаят паролата, е все тая. Само дето инсталирането на сертификат е занимавка, и е само за банкирането, надали всеки си носи сертификатите, драйверите и т.н., в задния джоб навсякъде.

За другото - вече браузърите имат разни неща като In-Private browsing и др. такива. Доколко са успешни за борба с помненето, не знам.

 

Шъ го фане по тоз' начин... ако е настроен да прави скрийншотове

Функцията е следната: пипнеш нещо - шот. Няма значение дали е клик от мишката или натиснат бутон на клавиатурата. Лошото е, че не можеш да изтриеш и шотовете, защото те се ъплоудват на някое ftp или ти се пращат по пощата. По този начин се хваща и виртуалната клавиатура, която е вградена - чрез скрийншотове. За тази цел се ползва по-друг тип ВК, а най-добре (най-лесно) е да ползваш програма за съхраняване на пароли в портейбъл вариант, която автоматично ти попълва данните в полетата. Kaто тази:

http://www.roboform.com/

Каквото и да ползваш, в зависимост от инсталирания кейлогер, троянец или каквото, не може да се чувстваш защитен при въвеждането на парола. on-screen клавиатура би помогнала при голяма част от кейлогерите наистина, но ако даден сайт и потребители държи на сигурност, съм мислел по тоя въпрос, схема, при която няма нужда от виртуални клавиатури, а на принципа на challenge. Примерно при всяко логване въвеждаш различни символи от клавиатурата, като по някакъв начин на екрана виждаш инструкции, базирани на случайно генериран низ, как да си въведеш паролата. И дори текущата сесия да е шотирана и записана, самата парола не се въвежда и записала, и следващия път същата последователност няма да сработи.

Само идея засега, но мисля че може да се измисли и да работи.

[victory]

Каквото и да ползваш, в зависимост от инсталирания кейлогер, троянец или каквото, не може да се чувстваш защитен при въвеждането на парола. on-screen клавиатура би помогнала при голяма част от кейлогерите наистина, но ако даден сайт и потребители държи на сигурност, съм мислел по тоя въпрос, схема, при която няма нужда от виртуални клавиатури, а на принципа на challenge. Примерно при всяко логване въвеждаш различни символи от клавиатурата, като по някакъв начин на екрана виждаш инструкции, базирани на случайно генериран низ, как да си въведеш паролата. И дори текущата сесия да е шотирана и записана, самата парола не се въвежда и записала, и следващия път същата последователност няма да сработи.

Само идея засега, но мисля че може да се измисли и да работи.

A възможно ли е технически да се направи следната схема:

клавиатура (обикновена, EN) -> програма, в която е зададена друга клавиатурна подредба (или клавиатура) -> промяна на символите от едната в другата -> попълване на полето за парола с променените символи.

По този начин винаги въвеждаш едно и също, но се попълват други символи (пак едни и същи), а ако се направи така, че от един въведен символ да се попълват два различни... паролата ще е на практика двойно по-дълга и неразбиваема (за обикновен потребител).

[w00x]

A възможно ли е технически да се направи следната схема:

клавиатура (обикновена, EN) -> програма, в която е зададена друга клавиатурна подредба (или клавиатура) -> промяна на символите от едната в другата -> попълване на полето за парола с променените символи.

По този начин винаги въвеждаш едно и също, но се попълват други символи (пак едни и същи)

 

Нещо не можах да те разбера. Keylogger-а хваща това, което се възприема от системата, а не това, което се натиска на клавиатурата. Ако ще и на арабски да ти е подредбата, пак ще излезе какво е натиснато.

 

А онова с copy/paste няма как да се хване със скрийншот-а, защото те се настройват да хващат шот през определен интервал. Иначе ще има хиляди шотове и компютъра ще се лагне страшно много. Все пак трябва да е неусетен тоя кейлогър. Ако го направят така, да хваща всичко, направо една табела да сложат на монитора. "Действията ви през тази сесия се записват с цел повишаване качеството на услугата".

 

И все още не съм сигурен как със скрийншот ще ми хванеш виртуалната клавиатура.

[victory]

Нещо не можах да те разбера. Keylogger-а хваща това, което се възприема от системата, а не това, което се натиска на клавиатурата. Ако ще и на арабски да ти е подредбата, пак ще излезе какво е натиснато.

 

А онова с copy/paste няма как да се хване със скрийншот-а, защото те се настройват да хващат шот през определен интервал. Иначе ще има хиляди шотове и компютъра ще се лагне страшно много. Все пак трябва да е неусетен тоя кейлогър. Ако го направят така, да хваща всичко, направо една табела да сложат на монитора. "Действията ви през тази сесия се записват с цел повишаване качеството на услугата".

 

И все още не съм сигурен как със скрийншот ще ми хванеш виртуалната клавиатура.

При различните кийлогъри има и различни възможности. Има такива, които както ти казваш - правят скийншотове през определено време и именно поради препълването... или липсата на контрол... кога точно да направи снимка... се създадоха усъвършенствани варианти, като този:

 

Screenshot Logging (Spy Camera) -

This feature completes all textual logging features by bringing you the visual picture of your computer just like you installed automatic surveillance camera.

It can even capture the mouse cursor and support dual monitor!

You can easily change the frequency of taking screenshots from your computer.

You can even configure it to take a screenshot on every mouse click and "Enter" key so you won't miss any event.

You can set it to stop taking screenshot when the computer is idle and resume the visual surveillance after detecting mouse/keyboard activity.

 

повече информация:

http://www.relytec.com/

 

друг е въпроса ако използвам блутут виртуална клавиатура от ... телефона ми да кажем. Тогава няма реален клик от мишка или натиснат бутон от клавиатура, която да активира функцията за правене на снимка.

Обаче... ако инсталираш друг кийлогер като този:

http://www.elite-keylogger.com/elite-keylogger-spy-software.html

на принципа: Working in low-kernel mode

тогава става опасно. Лошото при този е, че няма функцията на 1-я, но нищо не пречи да инсталираш и двата и да направиш съответните настройки - така, че да не си дублират функциите.

 

Успокоително в случая е, че много трудно се кракват и ако не си го купиш легално... резултата ще е лош

А, за да похарчиш 100+ долара... трябва да имаш сериозно основание.

 

По другия въпрос: да ще хване какво си натиснал ако ще и на арабски да е, но въведеното в полето ще е друго... и то не може да се хване

[w00x]

По другия въпрос: да ще хване какво си натиснал ако ще и на арабски да е, но въведеното в полето ще е друго... и то не може да се хване

 

Пак не мога да те разбера.

 

На бутона O от клавиатурата е сложен символа &. Натискаш си O, излиза & и кейлогъра помни &.

[Ferante]

Всъщност има много по-ефективен начин за интернет банкиране от изброените десетки варианти до тук.

Всъщност никоя от съвременните банки на запад не използва потребителска парола или някакви смахнати сертификати за влиза в системата. Въпреки това данните/парите на потребителите са напълно защитени и никакви логъри и т.н. не биха могли да ти изтеглят пари от сметката

[w00x]

Всъщност има много по-ефективен начин за интернет банкиране от изброените десетки варианти до тук.

Всъщност никоя от съвременните банки на запад не използва потребителска парола или някакви смахнати сертификати за влиза в системата. Въпреки това данните/парите на потребителите са напълно защитени и никакви логъри и т.н. не биха могли да ти изтеглят пари от сметката

 

Как пък няма да ти пратят кей генератор за сметка с 200 евро вътре...

[tedy]

Всъщност има много по-ефективен начин за интернет банкиране от изброените десетки варианти до тук.

Всъщност никоя от съвременните банки на запад не използва потребителска парола или някакви смахнати сертификати за влиза в системата. Въпреки това данните/парите на потребителите са напълно защитени и никакви логъри и т.н. не биха могли да ти изтеглят пари от сметката

Добре де кажи как . Тукашните банки работят със сертификати/ел. подписи, както и с хардуерни устройства за еднократно генериране на парола, валидна определено време, и вариации. Това пак те задължава да носиш това устройства или нещо друго, в джоба си, а за други небанкови сайтове, пак оставаш без друг избор, а с пароли.

Точно пък на запад не давай пример, че там са по-зле в това отношение . Там даже нямат ЕГН-та.

Или имаш предвид нещо друго..

Има ли компютър, в който можеш да влезеш в акаунта си (без хардуерни у-ва, сертификати и др. такива начини) и да правиш операции, има и опасност и друг да го направи on your behalf дет се вика.

 

victory, сам знаеш, че в зависимост кейлогъра как се закачи, транслирането на клавиатурата с някаква си програмка няма как да го спре, ако това транслиране става "след" кейлогъра. Ако той се закача просто с някой hook и следи резултата от драйвера и транслирането на символи, то това направо не е кейлогер .

Не мисля, че да се разчита на това, е успокоение (предварително да се убедиш, че кейлогера е от определен тип за да си спокоен като влизаш , ама то ако знам че има такъв, няма да влеза), и то пак трябва да носиш и инсталираш нещо си, там където ще ползваш акаунтите си, да не говорим за драйвери и др. такива на публични места.

[CyberHill]

Хубава дискусия стана. Даже може да я отдели някой модератор.

 

Като извод за 100% сигурност : Закривате online банкирането + facebook + e-mail и т.н.

Решат ли НЯМА спасение! :ph34r:

 

Но определено, в BG сигурността на Online банкирането, е на доста по-високо ниво от алтернативите, особено пък в Гърция.

[victory]

Пак не мога да те разбера.

 

На бутона O от клавиатурата е сложен символа &. Натискаш си O, излиза & и кейлогъра помни &.

E, как ще помни & след като е регистриран натиснат клавиш О? Принципа е да се хване това, което е натиснато (оттам и името им). Ако е вярно това, което казваш... би ли обяснил как няма да ти засече виртуалната клавиатура? Че то и мислите ще ти хване така

По твоята логика... от кийлогърите няма спасение и едва ли не те хващат и интерпретират всичко. Няма как да стане това (поне с официалните им версии).

Освен всичко друго, вече повечето сериозни password мениджъри имат и функция да блокират кийлогъра докато се използват. Ясно е, че това е борбата между доброто и злото..., но това е положението. Едните винаги са напред, другите ги догонват. И в този ред на мисли се налага извода: такива програми се купуват за да се разчита на постоянен съпорт.

[tedy]

Бе така е, ама ако си внимателен по принцип, такива атаки успяват почти единствено когато намалиш бдителността и внимателността си (т.е. направиш ти грешка). В тоя смисъл доколкото знам, пробивите и др. такива почти винаги са били след човешка грешка някаква, изключвам някакви бъгове в реализацията на алгоритмите за защита.

Банкирането мисля че е на достатъчно ниво да не се притесняваме особено, с всичките нововъведения, а за другото - по-дълги пароли, културност при работа с пароли и машини (наистина е чудно как хората ползват едни и същи пароли на повече от 1 място, особено за по-важни места), да не говорим че дори паролите да са различни, са 123456 (последно чух как в един магазин секретарките, в присъствие на клиенти, си съобщават такава парола през няколко бюра чрез викане, за достъп до машината на трета секретарка ), или 654321 или от сорта (имам достъп до акаунти на стотици хиляди регистрации в 2-3 бг сайта) и виждам за какви пароли става въпрос, та направо изтръпвам (за тях ).

Оттам насетне е работа на сайтовете, да реализират по-голяма сигурност, ако такава се иска.

 

@victory, аз ли нещо не схващам... купуваш си кейлогер и разчиташ на официален съпорт от фирмата създател? .

Защо си мислех, че кейлогерите, поне тия, които са правени и мислени изцяло с лоши замисли, не се правят от официални фирми и да ги видиш в Products в сайта им, а са такива, които може и никога да не усетиш, че са инсталирани, камо ли други официални програми да ги деактивират докато въвеждаш парола .. Звучи малко смешно, ми то тогава да напишат един плугин за всеки браузър за "деактивиране на кейлогърите докато се логвате в някой сайт" . И проблемът е решен.

Иначе за хващане на виртуална клавиатура - понеже тя не генерира хардуерните събития на натискане (все пак това е целта), един кейлогер на теория може да се закачи и на по-високо ниво, да следи примерно евънтите за текущия прозорец, и пак ..., другия начин е да хване тая клавиатура именно с скрийншотиране.

[victory]

Бе така е, ама ако си внимателен по принцип, такива атаки успяват почти единствено когато намалиш бдителността и внимателността си (т.е. направиш ти грешка). В тоя смисъл доколкото знам, пробивите и др. такива почти винаги са били след човешка грешка някаква, изключвам някакви бъгове в реализацията на алгоритмите за защита.

И съм съгласен и не съм съгласен. Ако механизмите за защита бяха безгрешни... нямаше да има кракнат софтуер

Друг е въпроса, че има програмисти които действително са гении и разбиването на продуктите им е възможно само от такива като тях... и то след дълго време. Ще дам няколко примера: Alcohol 120%, Whereisit, Magic Sequoia и т.н.

 

@victory, аз ли нещо не схващам... купуваш си кейлогер и разчиташ на официален съпорт от фирмата създател? .

Защо си мислех, че кейлогерите, поне тия, които са правени и мислени изцяло с лоши замисли, не се правят от официални фирми и да ги видиш в Products в сайта им, а са такива, които може и никога да не усетиш, че са инсталирани, камо ли други официални програми да ги деактивират докато въвеждаш парола .. Звучи малко смешно, ми то тогава да напишат един плугин за всеки браузър за "деактивиране на кейлогърите докато се логвате в някой сайт" . И проблемът е решен.

Иначе за хващане на виртуална клавиатура - понеже тя не генерира хардуерните събития на натискане (все пак това е целта), един кейлогер на теория може да се закачи и на по-високо ниво, да следи примерно евънтите за текущия прозорец, и пак ..., другия начин е да хване тая клавиатура именно с скрийншотиране.

Извинявам се, не се изразих точно: имах в предвид другите програми като password мениджърите.

[tedy]

И съм съгласен и не съм съгласен. Ако механизмите за защита бяха безгрешни... нямаше да има кракнат софтуер

Друг е въпроса, че има програмисти които действително са гении и разбиването на продуктите им е възможно само от такива като тях... и то след дълго време. Ще дам няколко примера: Alcohol 120%, Whereisit, Magic Sequoia и т.н.

Кракване на софтуер е друго нещо. Там имаш цялото време на света (или живота си) да се занимаваш. Онлайн е друго - примерно хакването на безжични мрежи пак разчита на офлайн опериране върху данни, събрани онлайн за известно време. Онлайн хакване на парола безжично чрез brute-force примерно, е кауза пердута ако си имаш здрава парола. Същото е и с RAR архивите - ще разбиеш някоя 30-40 символна парола на архив утре по това време . За тази разлика говорех.

 

Едит: ми все тая, password manager ако може да деактивира всеки кейлогер докато въвеждаш парола, какъв е смисъла от съществуването им изобщо (или пък просто да се направи плугин с тази функционалност, т.е. не се променя казаното).

[victory]

Едит: ми все тая, password manager ако може да деактивира всеки кейлогер докато въвеждаш парола, какъв е смисъла от съществуването им изобщо (или пък просто да се направи плугин с тази функционалност, т.е. не се променя казаното).

Смисъла е в надпреварата едните хващат другите, другите се усъвършенстват да не бъдат хванати... и така бизнеса процъфтява и за двете групи.

Всеки търси начин да прецака другия - като в живота

 

Иначе ето какво пишат от roboform:

 

- Advanced Identity Theft and Fraud Protection

Fights ‘Phishing’ by linking sensitive login information only to the correct URL. RoboForm Enterprise will only recognize valid URLs that are associated with login information. A fake site would not be recognized and therefore login information would not be provided automatically.

- Defeats Keyloggers. RoboForm Enterprise does not require using a keyboard to type passwords. RoboForm Enterprise offers the option of a Virtual Keyboard to "type" the Master Password; and keyloggers cannot detect it. The Virtual Keyboard is an image of a keyboard on the screen in which users click the images of the keyboard buttons. Since there are no keystrokes, there's nothing for the keylogger to detect or transmit.

[Ferante]

Как пък няма да ти пратят кей генератор за сметка с 200 евро вътре...

Напротив, всичко е безплатно.

Става дума за 'random' key generator като този на снимката:

Цялата система работи на public-private keys, а сигурността по мрежата е през https

 

Ако е човек е достатъчно 'хигиеничен' по отношение на своето виртуално присъствие в мрежата е почти невъзможно да бъде ощететен от недобросъвестни потребители