1. Fórum Root.cz
  2. Profil Gtor
  3. Zobrazit příspěvky
  4. Příspěvky

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Gtor

Stran: 1 [2]
16
Software / Re:Zapamatovatelné zaheslování souboru
« kdy: 20. 07. 2021, 18:29:49 »
Filip Jirsák

Promin, ale jsi uplne mimo. Nejslabsiho utocnika rozhodne neocekavam. Nejslabsi utocnik by zkousel vsechna slova z nejakeho slovniku, popripade vsechny kombinace 2-3 slov. V pripade 5 nahodne vybranych slov (tedy NE neco jako: reka kopec more cesta krajina) a za predpokladu, ze slova budou vybirana z velke mnoziny, jiz je sance minimalni, pokud neni utocnikem nejaka organizace s velkym rospoctem. V pripade 5 nahodne vybranych slov jde o zhruba 10^20 kombinaci (predpokad ze vybirame ze slovniku o 10 000 polozkach).

Tvorit slova s pismen, to je zname tvoreni hesla (a na konci slova nejake cislo), to je znamy zpusob tvoreni hesla, s nedostatecnym poctem kombinaci. Tvoreni vety (vtipne rozvinute), to je znamy zpusob tvoreni hesla, ale uz je pocet kombinaci obrovsky. A navic crackujici softare musi umet tvorit vety. To v Cestine neni jednoduche. V pripade souveti (vtipne vymyslene a rozvinute) jsi bez sance a zadny crackujici software nebude nejspis umet tvorit souveti v Cestnie. A kombinaci je tolik ...

Sum ve fotce ma naopak zcela dostatecnou entropii. Jasne, sumem vznika mnozina fotek, ktera je jen naprostou nepatrnosti z celkoveho mnozstvi moznosti obrazku (2^24^sirka^vyska) a obrazce vznikle sumem maji pravdepodobnostni rozdeleni, jaky obrazec vznikne z sumu pravdepodobneji. Ale tech moznosti i v nejpravdepodobnejsi oblasti je nepredstavitelne, vic nez 10^1000. Zkus i po dlouhe expozici temne oblohy fotku zasvetlit. Tech obrazcu je tolik. A nezapominej ze jen mala zmena ve fotce zmeni totalne hash. Takze fotka = vyborny zdroj entropie.

Heslo utoku hrubou silou odola vice-mene vzdy, je-li alespon trochu rozume silne. Na Notebooku za tyden toho moc hrubou silou nerozlusknes, pri rychlosti 1 heslo za 1 s (veracrypt container) nezvladnes za tyden ani dve nahodne vybrana podstatna jmena z mnoziny nejpouzivanejsich slov (2 nahodna slova z 1000 nejpouzivanejsich slov pri 1 heslo/s za tyden nevyzkousis vse). Vice nahodych slov z rozsirene zasoby (5 slov) opravdu neni v silach. A pokud pridas retezec nahodnych alfa-numerickych znaku, nema sanci ani veskera vypocetni technika na svete. A hesla se skutecne nekradou hrubou silou, nebot hrubou silou neni sance.

17
Software / Re:Zapamatovatelné zaheslování souboru
« kdy: 19. 07. 2021, 01:25:08 »
Za predpokladu, ze utocnik vi, na jakem systemu je heslo tvoreno:

1. 4-6 nahodnych slov. Vybirat ne jen z nejpouzivanejsich slov (rekneme 1000), ale s co nejrozsirenejsi slovni zasoby. Nahodne slovo vybereme nahodnym otevrenim slovniku, nebo stopnutim cyklickeho prubehu elekronickeho slovniku. Pri 5 nahodnych slovech z mnoziny 10000 slov je to 100 miliard miliard kombinaci a prulom hesla by trval i pri rychlosti crackeru miliarda hesel za sekundu (coz je nerealne) stovky az tisice let. Uz i 4 nahodna slova jsou pomerne silna.

2. Nejake vtipne souveti, co si vymyslis a bude se dobre pamatovat. Smysl moc to souveti mit nemusi. Tezko bude nejaky Brtute-Force cracker umet tvorit souveti a hadat. A moznosti je stejne tolik.

3. K posileni existujiciho hesla muzes pridat nejaky retezec z nahodnych znaku (ktery neni zapamatovatelny), ale musi byt nekde ulozen, a musi byt nezavisly na pamatovanem hesle. Nebo pridat k heslu Keyfile.

Naopak pomerne spatnym resenim (zapamatovani vs. entropie) jsou ruzne zkomoleniny, meneni velikosti pismen, pridavani nealfanumerickych znaku a pod. Spatnym resenim jsou i dlouha cisla, tezko se zapamatuji. A velmi spatna (byt dlouha, ale slaba) hesla jsou citaty, prislovi, jmena celebrit (resp. jmena obecne), ruzne konstanty a pod. Napriklad 141592653589793 je opravdu spatne heslo.

Add nahodna cisla - lavove lampy nejsou potreba. Staci obycejny fotak - i pri stejnem zaberu se projevi na fotce sum a tim padem bude hash uplne jiny. Nejlepsi pro co nejvice sumu je vysoke Iso a dlouha expozice.

Hesla se ale nekradou hrubou silou, ze by nekdo zkousel vsechny moznosti. Hesla jsou odchytavana jinymi zpuzoby, cemuz by mel uzivatel se snazit zamezit.

18
Software / NoScript u nove verze Tor Browser nefunguje
« kdy: 04. 06. 2020, 12:38:09 »
U prohlizece Tor Browser, ktery funguje prez TOR, jsou 3 stupne zabezpeceni. Nejbezpecnejsi stupen znamena kompletni zakazani JavaSkriptu, zakaz nekterych typu fontu, ikon, symbolu a podobne.

Existuje v Tor Browser rozsireni NoScript, pomoci ktereho lze regulovat docasne-trvale zakazani-povoleni urcitych JavaSkriptu (nebo vsech na dane strance). S timto rozsirenim slo vzdy povolit vybrane skripty i pri stupni zabezpeceni Safest - nejbezpecnejsi.

Ted s novou verzi TorBrowser rozsireni NoScript nefunguje. U stupne zabezpeceni Safest (nejvyssi) se daji povolit vybrane skripty, ale skonci to tim, ze se stranka jen znovu nacte a vybrany povoleny JavaSkript se stejne neaktivuje (nebo vsechny na strance, kdyz to vyberu). V predkozich verzich NoScript fungoval normalne.

U stupne zabezpeceni Safer (prostredni) jsou deafultne vsechny JavaSkripty povoleny na https webu (zakazany jsou jen na strankach bez https).

Mate podobne zkusenosti s novou nefunkcnosti NoScript v Tor Browseru ?

19
Odkladiště / Re:Soukromí: jak krátce a srozumitelně vysvětlit důvody?
« kdy: 10. 11. 2019, 11:48:44 »
Vsechna komunikace se uchovava na serveru a poskytovatel sluzby je casto zahranicni, nemas absolutne kontrolu, komu data uvolni, proda.

Vetsina BFU ma ulozena hesla a nesifrovany disk. Pri kradezi notebooku se tak snadn da k datum dostat. I kdyz nema ulozena hesla, lze z historie dohledat jmena uctu. Hesla jdou ukract i pomoci mallware, vetsina BFU o zabezpeceni nevi nic moc.

Velke firmy maji nastroje na spehovani vsude mozne na webu (FB, Google, MS a dalsi) a spolecne se ziskanymi daty aktivitu propoji ne jen k personalni reklame. v Cine zasli jeste ponekud dale.

Mail jde pouzivat end-to-end sifrovany u nekterych poskytovatelu, Skype je uzavrena vec, zoom ani neznam. Jabber jde sifrovat, ale ne moc BFU vi jak. FB je samozrejme sracka. WhattsApp patri pod FB.

V pripade SmartFounu je Android od Google, tak tam je to jasne.

Psycholog je urcite dobry odbornik na svoji praci, vetsinou vsak nikoliv odbornik za zabezpeceni PC a komunikace.


20
Odkladiště / Re:Anonymita platebnich bran
« kdy: 10. 11. 2019, 11:40:13 »
Transakce platebni brana nemaze ani nahodou, vzdy si k tomu vsechna data uchovava. Navic pravdepodobne registrovany ucet musi sedet s udaji na platebni karte, kterou tam zadavas. Tak to je minimalne u PayPalu. Duvodem je povinnost uchovavat a overovat data zakonem, proti prani spinavych penez, proti terorizmu a podobne.

Western Union, uz neni co byvala, ve spouste zemich je pri vyberu nutne overit identitu, napr. Britanie, Italie (a jsou tam kamery samozrejme). Takze, kdyz te v cizine okradou a seberou ti i doklady, Western Union pouzit nejde a ze se zrovna v Italii krade vice nez dost. Duvodem jsou opet zakony proti prani spinavych penez, proti terorizmu a podobne. Zato vysoke poplatky za zprostredkovani Western Union zustaly.

Jako anonymni platebni branu (i kdyz ne uplne taky) lze pouzit Bitcoin nebo jinou kryptomenu.

21
Odkladiště / Re:U mobilu funguje budík i po výměně baterie
« kdy: 10. 11. 2019, 11:33:08 »
Nektere mobily si serizuji cas prez signal nebo GPS a jak je to s budikem, netusim tedy. Muze tam byt i mala zalozni baterie, ktera mimo-jine muze davat chvili zpravy o poloze. Ale je to jen spekulace.

22
Odkladiště / Re:Kde si založit free email účet, když mám nedůvěryhodnou IP?
« kdy: 10. 11. 2019, 11:30:58 »
Pokud chces zakladat ucet primo prez TOR, tomu se spousta poskytovatelu emailu brani ne jen kvuli spamu. Navic budes ihned podezrelej a tak ti tam muzou skusit hodit nejaky backdoor na identifikaci (poloha mysi prez JavaSkript, charakteristika zvukovky, a dalsi). U vetsine poskytovatelu primo zalozit ucet nejde a i pouzivani muze byt obtiznejsi.

Pokud nejde primo zalozit ucet prez TOR, jde si najit nekde Free Wifi, napr. v hospodach-kavarnach, tam zase ale neni clovek sam. Knihovny (v nekterych statech v EU) taky free wifi maji bez jakekoliv registrace, tam jsou casto kamery (muzou byt i v hospodach-kavarnach). Nektera mesta (Italie) mai wifi po celem meste, ale ne vzdy funguje na tohle. Pri dobre viditelnosti chytnes Wifi reltivne daleko od hospody. MAC adresu si muzes docasne pozmenit (MAC je identifickacni retezec PC res. sitovky, neco jako IMEI telefonu).


Webmaily, kde minimalne v minulosti proslo zalozeni a pouzivani prez TOR:

tutanota.com - driv slo prez TOR i zalozit, dnes jde jen prez TOR pouzivat, nepotrebujes sekundarni email, nutnost JavaSkriptu. Sidli v Nemecku.

protonmail.ch - Jde prez TOR pouzivat, zalozit sel prez TOR pred par lety, je potreba sekundarni email. Nutny je JavaSkript a docela zere CPU, mozna kvuli nejakemu backdoru na pokus o identifikaci. Sidli ve Svycarsku.

http://mail2tor2zyjdctd.onion/ - Mail to Tor, primo onion router. Zalozeni uctu i pouzivani prez TOR bez JavaSkriptu. Jen podstatna cast klasickych prijemcu vyhodnoti zpravu jako smam, kdyz nekomu pises.

wp.pl - pred par lety slo pouzivat i zalozit prez TOR, nevim jak ted, chteli telefon,vzdy to slo nejak obklikat, sekundarni mail netreba. Ale nutnost JavaSkriptu a porad tam neco blbne. Sidli v Polsku, takze ocekavej pokus o rekatolizaci.

seznam.cz - zalozit a pouzivat prez TOR sel dost tezko, min. pro zalozeni si musel chytnout jeste nezabanovany Exit Node, nejlepe z CR. Nepotrebujes telefon ani sekundarni mail. Jenze adresy prez TOR vyhodnoti jako spam casto, tvari se, ze vse pracuje OK, a mail pritom neodesle. A to i v pripade overene schranky prez telefon, kterou zrovna pouzivas prez TOR. Podobne je na tom centrum.cz JavasSkript samozrejme potreba.

bitmessage.ch - zajimavy a dobry, mail na bazi bitcoinove technologie tak trochu. Jde pouzivat prez TOR bez JavaSkriptu a maji i onion rourer. Zalozeni uctu jde prez TOR, ale chteji sekundarni mail, nektere temp-maily blokuji. Pri zakladani bez JavaSkriptu se tezko prelouska CAPTCHA, zakladani uctu nejde prez onion router. Sidli ve Svycarsku

yandex.ru - jde zalozit prez TOR,  pouivat. Na telefon se ptaji (Azbukou), ale vyplneni telefonu jednoduse se da odmitnout. Zakladani uctu, tam nevim, jestli se da vyhnout JavaSkriptu, pokud chces prepnout do Anglictiny, JavaSkript je potreba. Zadny sekundarni mail netreba. Pouzivani webmailu jde prez TOR bez JavaSkriptu, ale ve tatovem pripade se nedostanes k Anglictine a musis vedet, kudy to obklikat do prihlaseni, po prihlaseni je webnamil v Anglictine. Podobne na tom nejspis bude mail.ru, netestoval jsem. Vyhodou je dobra obrana proti spehovani od Google, FB a dalsich, naopak nejmenovana osoba-institice ma pristup ke vsemu.

Gmail - zalozit prez TOR nejde, pouzivat ano, jen nektere ucty jdou pouzit bez JavaSkriptu, kdykoliv muzou pouzivani bez JavaSkriptu zakazat. Backdory a spehovaci utility, jez pomohou identitu prozradit, tam zcela jiste jsou. Navic google m ruzne prvky vce vsech webech vice-mene, prez ktere se da trackovat.

yahoo.com - prez TOR nejde zalozit, ani pouzivat, chteji pri zakladani telefon - muzes zadat neexistujici, pak ti ale pri prihlasovani z jine zeme, nebo prez TOR nabidnou poslat overovaci SMS, jinak se neprihlasis - tedy nepouzitelny. Javaskript nutny, a je to US firma, backdory pro upresneni polohy tam temer jiste budou.

Vice seznam poskytovatelu (da se testovat):


http://www.fepg.net/

23
Windows a jiné systémy / Re:Zjištění původu napadení systému
« kdy: 03. 03. 2019, 03:10:04 »
Moc jsem nepochopil, jak se vlastne ten virus projevuje. Nebo se jedna jen o podezreni ?
Podle popisu je spoustu podivne vypadajicich veci jen soucast systemu, ktere dost lidi nerozumi (ja take ne).
Windows predpokladaji blbeho uzivatele a snazi se delat vse sami, s co nejmene uzivatelskymi zasahy.
Koncept Windows a jeho stale vetsinove rozsireni usnadnuje cestu virum. Tezko pak posoudit, co vir je, a co ne.

Zkusil bych Ubuntu. Je to verze Linuxu pro ne nutne pokrocile uzivatele. Je tam graficke rozhrani ze to zvladne vice-mene kazdy, i tam je terminal a utility pro pokrocile uzivatele. Doporucuji instalovat jen z reporitare prez terminal, Nebyt prihlasen pod rootem (na rootovskeho usera jine heslo nez user pro normalni praci).

Aktualizovana verze prohlizece - pro zaplatovani der, lepsi je chodit jen na ne moc pochybne weby. Me se osvedcil prohlizec Firefox, normalni in verze Tor Browser. Optimalni je, kdyz tam sviti zeleny zamek pri navstevovane URL (treba tady na root forum nesviti, vyprsel certifikat ?). A neukladat hesla. JS, tedy Java Skripty, kterych je web presycen, je lepsi globalne zakazat a jen vzdy docasne povolit na urcitych webech, kde jsou potreba. Javaskript muze skytat ruzne nastrahy ohledne vytezovani CPU tezbou kryptomen, nastroje pro spehovani, automaticke stahovani-prehravani a pod. Na youtube je treba JavaSkript samozrejme zapnout.

Stran: 1 [2]