Vytvoření anonymní identity na internetu

[Ħαℓ₸℮ℵ ␏⫢ ⦚ »]

Aha, takhle v původním znění jsem to chápal jako shadow b4n nebo něco jako, že mi banka pošle mé existující peníze do karantény. Teď se to vysvětlilo,peníze  z aktuální/chystaně jedné transakce.

beze srandy, čím  by měl být scénář "nechat kamaráda ať se mými údaji přihlásí do IB a pošle prachy" liší od "běžného mého přihlášení" do IB? (jméno heslo SMS - jako slogan NIA). Kvůli prevenci stopování měním agenty a občas IP adresu (bohužel zastaralé banky stále jako by  jim nedotekl požadavek mít přístupno na IPv6 a není to jen ta jedna nejmenovaná ) a nikdy jsem nějaký zádrhel v loginu nezanamenal,. ani následně při platbě. ale posílal jsem obvyklé částky. Opakuji www:jméno heslo SMS.
=Tady defacto použití přístup přes browser na jiném PC  nedává bance žádnou míru jistoty, že jde o legitimního uživatele

Za to jsem viděl živě před našimi zraky kamarádka co mi platila zboží co jsem ji obstaral  ,
v mobilním bankovnictví.apk se ji ukázalo přerušení, že transakce je podezřelá. jo potvrdila a prošlo to. Transakce se ale naopak mohla nezávislým pohledem jevit jako neobvyklá vším. I když to proběhlo přes její bankovnictví v digitálním koncentráku smartphonového bankovnictví.
= Tam je uživatel ztotožněn a je větší jistota, že to je skutečně majitel telefonu=majitel účtu.

ponaučení?  velký rozdíl v IB i apk banking (jak z hlediska chování jak jsme viděli a popsal, tak i z )
paradox: IB (www)chce  neustále login údaje (nebo nějak přes pseudo QR nově) ,zatímco v smartbanking jste volně řečeno neustále přihlášen (ve smyslu, že banka ví, že to jste vy pořád),. jen pravidelně musíte mačkat mrtvé tlačítko (otisk)
zajímal by mě tvůj nozor na tohle srovnání

[Reklama]

[Exceptions]

liší se to zařízením, z kterého se přihlašuje, IP adresou (sítí). Nejde jen o to, že má třeba jiný OS, verzi prohlížeče, lokální nastavení, ale má třeba úplně jinou historii a pozůstatky z použití vlastního účtu.

Ty ipv6 mě také štvou, banky už interně poměrně dobře jedou na ipv6, plus mínus, ale hodně problémy dělají ty různé nakoupené krabice, které řeší různé věci, pro ně to není vždy samozřejmost a pak to trvá dlouho. Banky to nijak netrápí, aby to prioritizovali, bohužel.

Dnes je bezpečnost www (desktop či mobilního webu) v troskách, nelze žádné údaje nijak rozumně schovat a v podstatě kdokoliv si může přečíst aktuální sezení a ukrást ho. Proto banky přešli na variantu bez cookies a session, pouze si pamatuji v js paměti klíče, tak aby to nešlo přes api prohlížeče a jeho dočasné soubory získat. V mobilní aplikace to je daleko lepší, OS poskytuje ochranu samotného vykresleného okna, poskytuje bezpečné uložiště, bezpečnou autorizaci, poskytuje transparentně úroveň svého zabezpečení. Nic z toho dnešní desktop nemá. Ne hromadně použitelně.

Paradoxně ten otisk sám o sobě poskytuje strašně moc. Dnešní bankovní mobilní aplikace jsou obstojně chráněni proti MitM útoku, proti kompromitaci samotného zařízení, proti snímání obrazovky (i externě, nezadáváš viditelné heslo, nelze na kameře přečíst). Začíná být velmi těžké mobilní bankovnictví nabourat bez tvé přítomnosti a potřeby. Proto se zase masivně šíří útoky přes telefony a sociální inženýrství, protože ty různé podvržené odkazy, zkopírované landing stránky bank, ukradené sezení jsou na ústupu.

[Jaromír Adámek]

banka mě uzamčela účet

Tohle ale ne. Na základě jakých smluvních podmínek by mohla banka něco takového udělat? Až do pravomocného odsouzení nebo exekučního rozsudku nemá přece banka žádné právo blokovat přístup k majetku.

To asi neznáš aktuální banky . Jsou schopné ti vypovědět smlouvu jen proto, že zjistí, že jsi kupoval BTC nebo se jim jinak nelíbíš. Převedou ti peníze na shadow účet jen proto, že jejich systém odhalí, že se chováš nestandardně (což může být cokoliv nového), pak musíš podstoupit kolečko spousty otázek po telefonu nebo návštěvu pobočky. Ty banky mají svoje podmínky hodně gumové, často mají termíny jako bezpečnostní incidenti nebo porušení smluvních podmínek jako důvod k blokaci.

V mém případě byl problém v tom, že nejmenovaná banka si mě najala na testy Servis24 (dnes to už není pod NDA) a vzhledem k tomu, že jsem to dělal ze stejné IP adresy (sítě) jako jsem používal svůj osobní/firemní účet, tak zablokovala i je pro porušení podmínek. Samozřejmě se to vysvětlilo, ale...

aha, ja bych cekal, ze mas testovany software na jedne masine v kanclu/laborce a z druhe masiny provadis utoky na ten software na prvni masine, pripadne, ze by vsecko mohlo bezet na localhostu jenom.
ty to musis testovat s realnym internetem jo?

Ono to je různé, samozřejmě hlavně mluvím o minulosti, kdy se to opravdu dělalo tak nějak na koleni.

Pod penetračními testy je schovaná široká rodina postupů. Izolovat aplikaci a pěkně jí potrápit je samozřejmě velmi časté a známé, ale tím neodhalíš řadu zranitelností, některé jsou schované jen v produkci. Různé voloviny v DNS, BGP, zapomenutých přístupných serverů, divergence chování produkce proti testovací verzi, různé enumerace údajů nebo útoky přes sociální inženýrství, různé uniky tokenů z mobilních aplikací atd. atd. To jsou vše také legitimní postupy a potřebuješ k nim veřejný internet, skenování, sledování, často z různých míst.

Dneska asi jen bůh umí udělat totožné testovací prostředí jako produkční (to mimochodem platí i o cloudech). Před dekádou to bylo opravdu vše dost na vodě. Dnes už je běžné, že přesný postup se dopředu zasmluvní, vyjasní, jasně se deklaruje co vše se použije, jaká jsou rizika. Ta příprava zabere daleko víc než samotná práce.

Stejně tak je různé, co se testuje. Není to binární aktivita typu průník/neprůnik, ale kontroluje se, jestli se aktivovaly správné bezpečnostní události, jestli správně dohled zareagoval, jestli reakace byla adekvátní. Jednou jsme i šli s usb flaskhou tajně do kanceláří, chytla nás ochranka při pokusu zase nepozorovaně zmizet a pak je klasické kolečko policie, vysvětlování, kontaktní osoba atd., protože prostě nemůžeš dát dopředu vědět ochrance, když právě ta je součástí bezpečnostního řetězce, že.

Ochrana IT systémů už není o tom, jestli máš zabezpečeno/otevřeno, ale jestli ti správně funguje dohled a adaptivní ochrana, jestli komunikace probíhá podle pravidel, pokud máš neomezený čas, nejspíš neodolá žádný systém. Prolíná se ním fyzický ochrana s tou digitální.

Vidíš a já bych právě bral za základní ego.
Stejně jak funguje sociální hacking nejlépe, že se zeptáš na heslo.
Tak bych vše oddělil a testoval na separátním HW, sítích a přípojení od jiného poskytovatele a města.
Protože pokřivíš ego všech těch, kde něco pronikneš a ti začnou pak útočit na tebe a vracet ti to .
Takže útočit ze stejného kompu, kde máš běžný život, platíš účty, objednáváš jídla děckám do školky bych bral jako hazardování se svým vlastním životem a jeho jistotami a rutinou.
Vždy někoho naštveš, lidé jsou autisti, asociálové, jedou bez pravidel a můžou se ti mstít a to i dlouhodobě a mimo pracovní rovinu nebo spolupráci. Takový zhrzený IT, kterému jsi penetroval jeho IT "dítě" ti to pak může vracet na sociálních sítích a registrovat tvé číslo do zajímavých seznamek ...

Zkoušel jsi někdy otestovat i svou architekturu?

[Jaromír Adámek]

Anonymita u úřadů je u recenzovaci platformy samozřejmě základ, bez toho jsem to vůbec nemusel dělat. Provozovatel webu je zodpovědný za obsah - někdo tam napíše nějakou negativní recenzi, jako třeba že za nějakou firmou je scientologická církev, já dostanu požadavek na smazání a budu muset mazat, jinak budu tahán po soudech kdo ví kým. A ti dotyční se vždy u soudu dozví moji pravou totožnost, což je dost blbý nápad.

Je X různých důvodů, proč musí být na recenzuj(tecka)org zcela anonymní a nevyhledatelný.

Nějaké penetrační testy a potíže s bankou a ISP jsou proti tomu úplné voloviny.

Bez moji anonymity nemůže být ta recenzovací platforma opravdu nezávislá.

Tak ti tu platformu vypnou, když nebudeš reagovat.

Schovej se za sročko nebo nějaké LTD v daňovém ráji. Kup doménu na české s.r.o a to české s.r.o pokud chceš anonymitu nechej pod nějakou LTD z daňového ráje.

Jinak vláda si vždy po tobě vymůže smazání, nebo cokoliv. Sice nezjistí, kdo jsi ty osobně, což je paranoia a je to stejně jedno, ale zavřou ti to.

Nepřemýšlej, jak chránit sebe, ale přemýšlej, jak chránit ten business.

Mimochodem co je špatné na smazání příspěvku, který je zavádějící, hnusný, urážející nebo protiprávní? Než tady přemýšlet, jak chránit tvou osobu vymysli koncept decentrolazace pro to, co chceš, ať je to nesmrtelné !

[kanoe22]

Anonymita u úřadů je u recenzovaci platformy samozřejmě základ, bez toho jsem to vůbec nemusel dělat. Provozovatel webu je zodpovědný za obsah - někdo tam napíše nějakou negativní recenzi, jako třeba že za nějakou firmou je scientologická církev, já dostanu požadavek na smazání a budu muset mazat, jinak budu tahán po soudech kdo ví kým. A ti dotyční se vždy u soudu dozví moji pravou totožnost, což je dost blbý nápad.

Je X různých důvodů, proč musí být na recenzuj(tecka)org zcela anonymní a nevyhledatelný.

Nějaké penetrační testy a potíže s bankou a ISP jsou proti tomu úplné voloviny.

Bez moji anonymity nemůže být ta recenzovací platforma opravdu nezávislá.

...
Mimochodem co je špatné na smazání příspěvku, který je zavádějící, hnusný, urážející nebo protiprávní?
...

Co ak on pise take prispevky a nepaci sa mu, ze mu tie jeho zavadzajuce, hnusne, urazajuce alebo protipravne prispevky mazu?

A Ctirad1001, po tych tvojich poslednych urazkach co si mi tu vypisoval, skus nieco take este raz a budem to riesit ako civilizovany obcan, pravnou cestou. Admin platformy dobre vie aky koment ti zmazal (screenshot mam) aby tu jednak udrzal stabnu kulturu a za druhe tebe zachranil zadek.

[Reklama]