Příspěvky

1

Windows a jiné systémy / Re:Ochrana soukromých souborů na PC v doméně Windows

« kdy: 12. 05. 2024, 00:20:35 »

Ono teda někjaký existuje ? Sem s ním :-)

Neexistuje a existovat nebude.

Všechny výmysly, co tu padají, jsou naprosté kokotiny - od představy, že ti firma nechá běžet doménové widle ve virtuálu až po to, že si něco můžeš šifrovat (sice technicky můžeš, ale admin to vždy dokáže dešifrovat nebo si může počkat, až to dešifruješ ty a pak ty data sebrat).

2

Server / Re:SSH s SK klíčem mlčí a čeká na dotyk YubiKey

« kdy: 11. 05. 2024, 19:31:00 »

Pridávam sa. U mňa je to rovnako. Obaliť to skriptom je fajn nápad. Dáš nám niečo sem?

Asi můžu - teď jsem zkusil ten skript tochu "vykostit", ale i tak je to na 200 řádků  Používám ho totiž nejen k notifikování na Yubikey, ale taky na injekci hesel do SSH přes SSHPASS a pár dalších drobností.

Nějak to učešu a hodím to někam na git.

3

Windows a jiné systémy / Re:Ochrana soukromých souborů na PC v doméně Windows

« kdy: 11. 05. 2024, 19:27:29 »

Stale nechapem, preco si vsetci myslia, ze admin nema na praci nic ine, iba im tajne pozerat na obrazovku a pozerat, co maju na disku. On to ma totalne v ... pokial nedostane nejaky prikaz, alebo mu nejaky automatizovany nastroj nevyhodi upozornenie, ze je nejaka podozriva aktivita.

Když jsme před mnoha lety přebírali doménu od externí firmy, tak jsem zjistil, že koníčkem jejich admina bylo projíždění fotek dámského osazenstva. Dámy si zálohovaly fotky z mobilu/foťáků na firemní kompy a už to bylo... Přišel jsem na to jenom díky tomu, že tohle prováděl (z mě neznámého důvodu) na DCčku pod accountem Admina a bylo to vidět v historii.

Myslet si, že admin nemůže být voyer, je bohužel naivní. Může. 

Soukromá data na počítač nepatří, speciálně pokud se jedná o korporát. Je to i pro bezpečí uživatele, protože nikdy nikdo nemůže vědět, co udělá admin. Nebo co udělá případný útočník, který se do domény dostane.

4

Windows a jiné systémy / Re:Ochrana soukromých souborů na PC v doméně Windows

« kdy: 11. 05. 2024, 09:34:53 »

... se správou Windows nemám zkušenosti.

Jsem mj. IT security, nechci, aby mi každý čuměl do karet ...

Řekl bych, že se tady ve dvou větách dostáváme k jádru problému té firmy, ve které pracuješ...

Ne, prostě neexistuje rozumnej způsob, jak něco před Adminem schovat. A jako "IT security" bys to měl vědět - pokud to teda není název pro sekuriťáka, co hlídá na recepci, aby lidi neopouštěli prostory firmy s jejím IT vybavením. 

5

Server / Re:SSH s SK klíčem mlčí a čeká na dotyk YubiKey

« kdy: 23. 04. 2024, 14:21:07 »

Mám stejnej problém - vyřešil jsem to skriptem, kterým jsem obalil SSH a kterej sleduje verbose logy.

A jakmile vidí Server accepts key: cardno:, tak napíše, že chce zmáčknout Yubikey.

6

/dev/null / Re:Zákon a identifikace sériového protokolu

« kdy: 28. 07. 2023, 09:14:50 »

Nechcete si pánové @honzako a spol vzít ten gaychat a jít s tím někam jinam?

Pokud se nepletu, tak autor potřebuje pomoct s dekódováním konkrétního a ne s blbejma kecama chytráků kolem, kteří maj od všeho alespoň dvoje klíče, ale jejich příspěvky jsou zcela irelevnantí k dotazu... 🤷

7

Bazar / Re:Prodám staré Atari pro sběratele

« kdy: 19. 07. 2023, 02:04:06 »

Já beru jakékoli, i nefunkční - zvládnu nejspíš opravit 

Brno není problém.

8

Hardware / Re:Jablotron bez originální SIM karty

« kdy: 21. 01. 2023, 13:37:28 »

Aaa to je skoda :-) Ale nezabudni na nas pls...

Já totiž tak trochu přemejšlím, že bych nabídl Jablotronu, že to za ně klidně naprogramuju, když mi pošlou dokumentaci (klidně pod NDA) nebo zodpoví pár otázek kolem protokolu... Naprogramovaný to mám, chybí mi význam sem tam nějakejch bitů v různejch zprávách a chtěl bych to doplnit  Běží mi to na berryně (Linux), takže ideálka pro domácnost. Vyšvihneš Raspbian, git pull, make a tradá.

Ale pokud je to nebue zajímat, tak to nejspíš normálně otevřu 

9

Hardware / Re:Jablotron bez originální SIM karty

« kdy: 21. 01. 2023, 01:06:25 »

mám tam ten jablotroní modul a chystám se ho letos programovat (propojení na jablotron holt prioritu nemá), ale jestli je to tak hrozné jak píšeš, tak díky za uštření práce, bylo by možné požádat o nasměrování ohledně té komunikace přes USB?

Na ten modul se fakt vybodni. Fakt ztráta času.

To znie dobre, ja som to USB ani nikdy neskumal lebo som myslel ze to budu mat nejako zamknute... Bol by si ochotny vyzdielat nejake zdrojaky alebo navod ako na to?

Hele asi budu - mám udělanej bridge mezi tím jejich protokolem a MQTT, kde se mi publikujou změny stavu čidel a systému a naopak poslouchá nějaké topicy, skrze které ovládám stavy jednotlivých sekcí. Tyhle zprávy jsou zašifrované (PSK) abych měl zajištěno, že mi někdo skrz MQTT server nezachytí/nezopakuje message na odkódování.

Je škoda, že něco takového nenabízí oni sami - ušetřil bych si spoustu práce s tím F-Linkem. To je sice taky docela šíleně napsanej program, ale zato má relativně pěkný logování, ze kterýho se dá ledasco poznat.

Sdílet to nebudu teď hned, ještě to chce trochu lásky - ale osobně mi to běží s docela slušným uptimem bez problémů

10

Hardware / Re:Jablotron bez originální SIM karty

« kdy: 19. 01. 2023, 23:45:48 »

Ted tohle prave resim, jak jste kluci udelali tu integraci do homeassistenta? Napichli jste nejak USB? Ja dneska mluvil s Jablotronem ohledne modulu JA-121T, ktery umi tu jejich sbernici prevest na RS-485, ale stoji to 5.5 tisic (!!) a podle vseho to umi taky jen zakodovat/odkodovat a obracene to ani nerekne kdo kodoval/odkodoval. Pry to nikdo nekupuje, coz se nedivim.

Jop, přes USB. Ten 121T stojí za prd, jednak má uplně nahovnovatý formát dat (to dělal skutečně nějakej pazneht, ze způsobu formátování těch zpráv se mi ještě teď rolujou fusekle i v šuplíku) a k tomu ještě tam aktivace senzoru choděj se zpožděním (až 8s). Modul skutečně k ničemu, vyhozený prachy a zbytečně zaseklý místo na sběrnici. edit: Navíc mám takovej divnej pocit, že v tom jimi doporučovaném režimu ("Terminál") to ani neposílá stavy PG výstupů - jenom je umožňuje tupě a naslepo ovládat....

Protokol na USB je daleko lepší, říká prakticky hned v podstatě všechno, co vidíš v F-Linku. Můžu s jeho pomocí vypínat sběrnice a dělat všelijaký psí kusy. Dokonce i resolvovat DNS záznamy a mluvit s GSM modemem AT příkazama Některý PIRka dokonce kupodivu říkaj i teplotu (příjemně překvapilo, fajn pro automatizaci). Teplotu na celé stupně a úroveň bordelu/kouře ve vzduchu říkají pro změnu všechny požární čidla.

Jinak log z toho vytáhnout jde taky, i konfigurace z toho jde vytáhnout. Jenom jsem se ještě nedostal k tomu, abych ji dekryptoval a naparsoval  Nicméně aktivně to říká všechny události, které vidíš pak v logu - takže když seš připojenej, tak prostě posloucháš a víš, co se děje.

11

Hardware / Re:Jablotron bez originální SIM karty

« kdy: 12. 01. 2023, 11:11:26 »

A vyřadí internetovou přípojku a zaruší GSM, aby se systém nemohl jak hlásit.

Což samo o sobě způsobí poplach a následný výjezd uplně stejně, jako narušení prostoru.

Zloději jsou oportunisti, prostě vidí příležitost a jde do ní. Když si může vybrat, většinou skipne barák s viditelným zabezpečením ale ne vždy.

Představa nějakých "Danyho parťáků", co pobíhají po městě s rušičkou je docela veselá, ale trochu scifi.

No a zabezpečovačka maximálně tak pošle SMS o výpadku elektřiny, na kterou bude někdo těžko třeba v jednu ráno reagovat, pokud je majitel na víkend pryč.

Tak fungují možná ty bordely z Alibaby - všechny normální ústředny mají baterku na mnoho hodin provozu (pokud instalaci nezprasila firma, co to dělala). Alarm - pokud má být opravdu k něčemu - je napojenej na PCO, které zajišťuje ostrahu. Přesně proto, abys jako majitel nezaspal hořící barák. Takže na PCO jde hlášení o výpadku primární přípojky internetu a elektriky ale systém dál normálně funguje a dál se hlásí.

12

Hardware / Re:Falešná SIM pro spuštění starších telefonů

« kdy: 11. 01. 2023, 18:24:25 »

Mám dojem, že jsem kdysi někde na eBay zahlédnul něco jako "dummy SIM card", SIM kartu určenou právě pro to, aby se s ní dal telefon jen zapnout a otestovat funkčnost telefonu bez komunikace se sítí. Samozřejmě nevím, jestli to fungovalo. A pochopitelně to z výše zmíněných důvodů telefon před sítí neschová.

Hlavně to nedává smysl, telefon se začne bavit s jakoukoli věží. To, zda má zablokovanou/nefunkční SIM nemá jak zjistit dřív, než že se pokusí o registraci a je odmítnutý.

Fakt by mě zajímal ten reálnej usecase - pro obyčejný zahrání si hada je to moc práce...

13

Hardware / Re:Jablotron bez originální SIM karty

« kdy: 11. 01. 2023, 15:10:26 »

pokud ty kamery běží jen v lokální síti (s přístupem přes VPNku), vypne si zloděj leda nic... Naopak bych se nedivil kdyby zloděj znal spíš exploity na "certifikované" značky kamer které musejí být připojené do internetu jinak jsou nepoužitelné :-)

Bohužel v dnešní době eSIM a IoT komunikací typu Lora nebo SigFox si nějakou "lokálností" opravdu nemůžeš bejt jistej - pokud každou z těch kamer nerozebereš a nepřesvědčíš se, že není vybavená nějakým vysílačem. Dneska je to navíc už v podstatě jeden čip s trochou pasivního bordelu kolem - takže pokud nevíš, co hledáš, tak so toho vůbec nemusíš všimnout.

14

Hardware / Re:Jablotron bez originální SIM karty

« kdy: 11. 01. 2023, 13:26:53 »

Nejde ani tak o ten certifikát, jako o rozdíl mezi kamerou, co funguje jak má, a kamerou, kterou si zloděj před vstupem na dálku vypne. Nebo, u těch telefonů, zaplátovaným a relativně bezpečným systémem versus hromada čínského malwaru předinstalovaná už z fabriky.

Jo, to je rozhodně jeden důvod Kromě toho je při mnoha příležitostech přímo požadavek za certifikované zabezpečení a zmiňovaný bordel to pochopitelně nesplňuje.

Už vidím jak přesvědčí potencionálního zloděje či útočníka nějaký certifikát, a to ten certifikát mám pověsit na plot/bránu a to ho odradí ?

Jestli myslíš, že certifikát se dává na bránu jako součást zabezpečení, tak to konzultuj se svým lékařem.

15

Hardware / Re:Falešná SIM pro spuštění starších telefonů

« kdy: 10. 01. 2023, 23:31:51 »

A jaký je usecase? Resp. jaký problém se snažíš řešit?