Connect with us

Anonymous Srbija

WEBAUTHN LOZINKE ŠALJE U PENZIJU !

Published

on

webauth

MEĐUNARODNA ORGANIZACIJA ZA INTERNET STANDARDE I FIDO ALIJANSA SU RAZVILI REŠENJE KOJE ĆE DONETI OLAKŠANJE KORISNICIMA, UZ VEĆI NIVO ZAŠTITE. ANDROID VEĆ DOBIO FIDO2!

Jedan od najvećih izazova u sajber bezbednosti je balansiranje između zaštite i korisničkog iskustva. Mere bezbednosti su tu da spreče napade, ali ne smeju da otežavaju posao legitimnim korisnicima.

Potreba za novim strategijama bezbednosti koje će se suprotstaviti rastućim pretnjama uvek postoji, ali nove mere donose dodatne izazove za korisnike. Ako su bezbednosne mere previše komplikovane, moguće je da će korisnici potražiti prečice ili ih potpuno zaobići kad im se ukaže prilika. Nekima je čak i najobičnija autentifikacija korisničko ime/lozinka naporna, naročito kada moraju da pamte veći broj kredencijala za nekoliko sistema.

Ali, uspostavljanjem specifikacije Web autentifikacije (WebAuthn), moguće je da smo blizu rešenja za ovaj davnašnji problem. Umesto da se od korisnika traži da pamti na desetine različitih kombinacija kredencijala ili da uradi nekoliko zadataka kako bi dokazao svoj identitet, WebAuthn teži da stvori standardizovan pristup autentifikaciji koji će omogućiti korisnicima da bezbedno pristupe web aplikacijama koristeći svoje jedinstvene autentifikatore (bez potrebe za dodatnim lozinkama). San o autentifikaciji bez lozinki postoji dugo, a čini se da je finalni korak ka tome W3C WebAuthn.

ŠTA JE WEBAUTHN?

U pitanju je standard za kreiranje i pristup kredencijalima javnog ključa na webu koji omogućava jaku autentifikaciju korisnika. To je zajednički poduhvat W3C, međunarodne organizacije za internet standarde i FIDO alijanse, koju čine kompanije koje rade na poboljšanju online bezbednosti zasnovane na identitetu. Korisnici pomoću WebAuthn mogu da se registruju i autentifikuju na web aplikacije koristeći uređaje poput telefona, hardverskih bezbednosnih ključeva i laptop/desktop računara sa ugrađenim TPM (Trusted Platform Modules).

Praktično, sam uređaj je autentifikator. To znači da se uređaj može koristiti sa drugim faktorima autentifikacije kako bi se postigla multifaktorska autentifikacija (MFA), odnosno u slučaju uređaja sa ugrađenom biometrijom ili PIN mehanizmom, MFA se može postići jednom operacijom, što podiže bezbednost i olakšava upotrebu. WebAuthn je dizajniran da bude otporan na phishing, jer se kredencijali povezuju sa sajtom za koji su kreirani (npr. antibot.ga) i neće raditi ukoliko neko pokuša da prevari korisnika da se autentifikuje na phishing sajt.

W3C i FIDO alijansa su definisali API koji omogućava developerima da implementiraju WebAuthn za web aplikacije. Iako ćemo verovatno još malo pričekati na masovniju implementaciju, ovaj standard je već naišao na snažnu podršku velikih igrača kao što su Google, Microsoft, Mozilla i Visa. S obzirom na to da ove kompanije imaju zajedno praktično milijarde korisnika, pitanje je vremena kada će WebAuthn postati globalni web standard.

ZAŠTO JE WEBAUTHN KORAK NAPRED?

WebAuthn ima više svojstava koja mu daju potencijal da postane rešenje koje će uspešno balansirati između bezbednosti i upotrebljivosti. Jedno od najvažnijih je sposobnost da isporuči visok nivo verifikacije identiteta kroz više aplikacija uz minimalni napor za korisnika. Zbog toga što je sam uređaj autentifikator, svaki korisnik čiji uređaj može da obradi biometrijske parametre ili unos PIN-a može da uspostavi proces multi-faktorske autentifikacije izuzetno visokog nivoa bezbednosti, bez potrebe za preduzimanjem dodatnih koraka. Velika rasprostranjenost uređaja koji imaju mogućnost obrade biometrijskih parametara poput otiska prsta, glasa i prepoznavanja lica znači da će ogroman broj korisnika moći da primenjuje WebAuthn standard, odnosno da za primenu nije potrebno investirati u skupe ili specijalizovane uređaje.

Osim jednostavnosti za krajnje korisnike, mogućnost da se višefaktorska autentifikacija obavi jednim klikom daje WebAuthn veliku prednost u odnosu na druge metode autentifikacije. Jedini način da napadač oponaša korisnika je da probije mehanizam za biometrijsku autentifikaciju ili unos PIN-a ili da ima fizički pristup uređaju. Takav napad je moguć, ali zahteva detaljno planiranje i targetiranje žrtve, uz veštine i resurse koji se obično sreću samo kod državno-sponzorisanih hakerskih grupa. Poređenja radi, treba napomenuti da i hakeri sa skromnijim znanjem mogu probiti većinu postojećih rešenja koristeći samo bazu kredencijala i dobro osmišljenu phishing email poruku. WebAuthn je otporan na postojeće phishing tehnike, jer će uređaj obaviti proces autentifikacije samo za domen za koji je registrovan, ne i za lažni sajt sa različitim domenom.

WebAuthn rešava još jedan bezbednosni propust koji se tiče načina čuvanja podataka. Kod većine postojećih procesa autentifikacije, korisnici poklanjaju poverenje provajderu servisa da će zaštititi njihove kredencijale. Slabost ovog rešenja videli smo mnogo puta u praksi – svaki provajder servisa ima veliku bazu podataka sa informacijama o korisnicima (uključujući i kredencijale) koji posle samo jednog napada mogu biti kompromitovani, odnosno javno dostupni. WebAuthn ovaj problem rešava tako što ključne informacije deli na dva dela. Servis provajder u tom slučaju čuva samo javno dostupne informacije o korisniku, dok se elementi privatnosti (privatni ključ za verifikaciju identiteta) čuva na uređaju korisnika. To praktično znači da i u slučaju Data Breach napada na provajdera određenog servisa korisnici ostaju zaštićeni, jer napadač dobija samo javni ključ koji mu nije dovoljan za krađu identiteta korisnika.

PREDSTOJEĆI IZAZOVI

Uprkos WebAuthn potencijalu, postoje dva velika izazova koja se moraju prevazići kako bi mogli da kažemo zbogom lozinkama. Prvi je edukacija korisnika. Javnost još uvek nema dovoljno znanja o tehnologiji koja stoji iza biometrije, a uobičajena pretpostavka je da će se podaci transmitovati na isti način kao lozinke, što otvara mogućnost da budu ukradeni ili da ih kompanije zloupotrebe. Servis provajderi i industrija bezbednosti moraju zajedno da rade na edukaciji korisnika o upotrebi biometrije, uključujući i činjenicu da se podaci čuvaju i verifikuju lokalno i da nikad ne napuštaju uređaj.

Drugi izazov je usvajanje tehnologije. Podrška globalnih kompanija kao što su Google i Microsoft jeste značajna, ali potrebno je i da pojedinačni servis provajderi prihvate WebAuthn kako bi to postao opšte prihvaćen standard. Važnu ulogu u tome ima industrija bezbednosti koja može pomoći u razumevanju punog potencijala WebAuthn standarda tako što će kompanijama isporučiti najnovije alate koji su potrebni da bi se WebAuthn inkorporirao u postojeće bezbednosne polise i doneo pozitivno korisničko iskustvo. Kada se ovi izazovi prevaziđu, možemo pričati o slanju lozinki u istoriju, uz istovremeno poboljšanje bezbednosti i pristupačnosti.

ANDROID DOBIJA FIDO2 SERTIFIKAT!

Dobre vesti za vlasnike Android uređaja. Najnovije ažuriranje Google Play servisa donosi Android uređajima koji imaju 7.0 Nougat ili noviju verziju FIDO2 sertifikat. Šta ovo znači? Pa, umesto unošenja kompleksnih lozinki za online naloge, možete se ulogovati pomoću otiska prsta ili FIDO bezbednosnih ključeva za bezbedan pristup bez lozinki. To je moguće za sve aplikacije i sajtove koji podržavaju FIDO2 protokole.

FIDO2 (Fast Identity Online) protokol nudi snažnu autentifikaciju bez lozinke baziranu na standardnoj kriptografiji javnog ključa koja koristi hardverske FIDO autentifikatore poput bezbednosnih ključeva, mobilnih telefona i drugih built-in uređaja.

Ovaj protokol je kombinacija W3C WebAuthn API koji omogućava developerima da integrišu FIDO autentifikaciju u web browsere i FIDO CTAP (Client to Authenticator Protocol) koji omogućava korisnicima logovanje bez lozinke. FIDO2 sertifikat podržava Mac OS X, Windows, Linux, Chrome OS i sve veće browsere (Google Chrome, Microsoft Edge, Mozilla Firefox, Apple Safari).

Iako Android već ima podršku za FIDO autentifikaciju za instalirane aplikacije pomoću eksternih hardverskih autentifikatora kao što su YubiKey i Titan Security Key, novo ažuriranje proširuje ovu funkcionalnost na online web servise preko browsera za mobilne uređaje.

Ukoliko vaš Android uređaj nema senzor otiska prsta, možete koristiti druge metode za autentifikaciju, odnosno pristup aplikacijama i online nalozima bez lozinke – vaš PIN ili obrazac za otključavanje telefona.

Prošle godine Google je lansirao FIDO Titan Security Key koji potvrđuje integritet bezbednosnih ključeva na nivou hardvera i pruža najviši nivo zaštite od phishinga.

loading...
Continue Reading
Click to comment

Leave a Reply

Your email address will not be published. Required fields are marked *

Anonymous Srbija

Podsetnik:Šta je Snowden ispričao i šta smo zaboravili

Published

on

By

NSA-spijunaza www.antibot.ga

Skoro da se većina security tekstova kod nas na blogu odnosi na hakerske aktivnosti i zaštitu od istih, vreme je da se podsetimo da osim ove „ekipe“ internetom ordinira i siva eminencija. Vlade, razne „bezbednosne“ i „anti-terorističke“ institucije, koje se kriju iza imena koja vraćaju veru u ljudski rod, a čije su misije daleko od plemenitih.

Pre skoro 4 godine desio se najturbulentniji period koji poznajemo u istoriji interneta, a glavni akter je bio upravo jedan običan radnik jedne od takvih plemenite organizacije – Edward Snowden. Dokumenta koja je obelodanio promenila su percepciju svih nas koji koristimo internet, ali koliko vidim ( po društvenim mrežama ) na kratko ili ni toliko. Elem, da ovaj tekst ne zazvuči previše kritički prema čitaocima, a i da ne ispadne da sam ja paranoična persona, najbolje je da uradimo reviziju zaključaka koji su se izvukli iz objavljenih dokumenata. Ko o čemu, ja o mreži, tako da će ovo i biti prva tačka.

Mreža

   Ovde neću da pričam o društvenim mrežama već isključivo o mrežnoj opremi i provajderima, kao i njihovom spregom sa NSA ( National Security Agency – ako neko ne zna ). Eksplozija Huawei-a u TELCO segmentu je bila zabrinjavajuća.

Počele su optužbe od strane američkih glasnogovornika kako se ovi ruteri planski isporučuju sa backdoor-ovima koji omogućavaju Kineskoj vladi da špijuniraju saobraćaj koji ide preko ovih uređaja. Ruteri, switch-evi, bazne stanice, serveri… Koliko sam shvatio, Huawei nije uložio neke preterane napore da ovo demantuje, već je krajem 2013. jednostavno napustio američko tržište.

Posle povlačenja iz USA, jedan od direktora Huawei-a je imao izjavu u kojoj je rekao da im ide super i bez ovog tržišta kao i da im je profit 36 miliona dolara. Ovaj potez je doneo 2 dobre stvari Amerikancima: prednost „proslavljenim“ domaćim vendorima i zgrožavanje javnosti prema opremi ovog vendora, što dalje znači i eliminaciju konkurencije. Ja lično mislim da je u ovome bilo ili da još uvek ima istine, ali da je akcija inicirana iz Vašingtona sa posebnim namerama, a ne u interesu opšteg dobra.

Pre 2-3 godine Telekom Srbija je svoju IP infrastrukturu prebacio na Huawei mrežnu opremu, a i deo mobilne mreže radi pod ovom opremom. Pa eto vam teme za razmišljanje

Snowden je u dokumentina objavio da je radio za NSA ali da se vodio na platnom spisku DELL-a. Dakle, Dell ima ortakluk sa NSA. Serveri Dell?

Neka hvala.  Spominje takođe i da je CISCO tesno sarađivao sa NSA. Dakle, Huawei je kritikovan zbog „moguće“ špijunaže, ali Cisco pošto radi u interesu NSA nikada nije pomenut?

Pa, vrlo logično. Bolje je da NSA ima pristup svim mogućim podacima, nego da Kinezi mogu da uzmu share od 20-30%? Ne dolazi u obzir. Bivči direktor NSA Alexander je imao samo jedan cilj – a to je potpuni pristup svim informacionim tokovma po svetu, kako internetu tako i telefoniji. Zato je kampanja Huawei nastala, zato je kampanja Huawei plasirana, zato je Huawei potisnut.

Sa druge strane, ni sam Cisco ne krivim previše što je pristao. Za njih je sve to biznis. zašto bi oni odbili saradnju sa sopstvenom vladom i izgubili ko za koliko milijardi dolara? Verujem da su kod njih lova kao i lični interesi pojedinaca ( NSA-ovci u redovima CISCO-a) presudili. Još jedna tema kada smo kod CISCO-a. Znamo da je Cisco lider u mrežnim proizvodima. Znamo da su u dosta stvari bili prvi. Zašto njihova ASA nikada nije postala slavna u NextGen Firewall segmentu ? Ja ne verujem da nisu imali načina da i u ovom segmentu budu apsolutni lideri, već verovatno nisu našli adekvatan način da proizvod bude adekvatan i korisnicima i NSA. Možda je ovaj moj komentar previše konspirativan. Možda…

Zanimljivost: Koliko ima ozbiljnijih proizvođača firewall-a a da nisu iz USA?

Tačan odgovor – 4!

CheckPoint – Izrael

Sophos – UK

Stormshield – Francuska

Cyberoam – India ( u vlasništvu Sophos-a)

Provajderi

 AT&T je najveći poslodavac bivšim agentima NSA, CIA, BIA itd…

Verizon je među prvima pristupio programu PRISM – koji služi za prikupljanje svih komunikacionih podataka. Dakle, dobrovoljno je dozvolio špijunažu sopstvenih korisnika. A oni su još to i plaćali.

Upstream provideri ( T1 provideri) su ipak malo suptilnije pristali na ovu igru. Saobraćaj je presretan direktno na optici, mirroring-om. Da, čak i na onom podvodnom optičkom kablu između USA i Evrope.

Ovo govori da su sve karike u lancu deo globalnog plana. Svi koji su iznad nas – običnih korisnika.

Društvene mreže/Mail

Svi veliki igrači koji pružaju usluge navedene u podnaslovu su oberučke prihvatile da predaju (ne prodaju) podatke NSA. Časni izuzeci su Yahoo i Twitter. Yahoo je poklekao pod naredbom izmišljenog suda pod nazivom FISA. E, tek uloga ovog entiteta je tragikomična i o njoj neću pisati, a ako nekog zanima nek’ izgugla. Twitter je uspeo da održi nezavisnost, ali sama struktura sajta je takva da je relativno lako profilisati svakog korisnika, a automatizacija je prosta ako se uzme u obzir njihov API, koji koriste i neki hakerski alati ( maltego npr).  Google? Bez problema. Facebook? Takođe.

Za Facebook je dobar jedan primer za koji sam se sit ismejao. Naime, naš drug Mark je bez problema prihvatio da Facebook dozvoli NSA da skuplja podatke korisnika, a otprilike u isto vreme je u kupio 4 kuće koje se nalaze oko njegove, kako bi sebi obezbedio veću privatnost. Cena privatnosti očigledno nije ista za sve.

Software

I ovde ima par komičnih scena ali prednjači Microsoft. Najave za Outlook 2013 su bile pompezne. Najveća sigurnost ikada, umetničko delo od enkripcije, privatnost, bezbednost, ma san snova. I onda pošalju taj isti Outlook NSA-u na tumačenje i shvate da ni blizu nije korisno imati toliko sigurnosti.Napravljen je kompromis da su korisnici dobili najsigurniji Outlook ikada, a NSA – sitnicu. Rupu kroz koju mogu da pročitaju po neki mail. U stvari svaki mail. Hm…

Pa onda One Drive ( u to vreme SkyDrive). To je dato instant NSA-u.  Sve u svemu, Microsoft je saradnik broj 1 NSA-a.

Skromno drugo mesto pripadalo je Skype-u, koji je sada u vlasništvu Microsofta. Čudno zar ne?

Ako neko ima nešto hostovano na Azure-u, želim mu svu sreću ovog sveta. Možda se desi da server padne, pa vas umesto monitoringa kontaktiraju iz NSA, da vam kažu da je server u problemu, jer ipak, oni rade u korist svih nas? Mada, možda i ne, jer nismo Američki državljani.

Telefonija

NSA je upala u  interne sisteme kompanije Gemalto. Ova holandska kompanija je jedan od vodećih svetskih proizvođača svih vrsta kartica, pa između ostalog i SIM kartica. Sa podacima koje su imali mogli su neometano da loguju saobraćaj sa tih kartica. Ova informacija je posebno zanimljiva jer je imala direktne veze i sa nama, jer je NSA testirala svoju tehnologiju nad korisnicima tadašnjeg Mobtela. Podaci  koje su logovali obuhvataju osim pozivaoca i pozivanog, vremena trajanja razgovora i podatke o lokaciji (BSID) kada je razgovor vođen.

Organizacija 

Osim USA, najbitniji saveznik je bio Engleska. Njihov GCHQ je bio brat blizanac NSA po aktivnostima, i komplementaran sistem. Australija, Novi zeland i Kanada su takođe spadale u najbliže saradnike NSA, ali njihovu ulogu Snowden nije preterano akcentirao. Ova družina sebe je nazivala “ Pet Očiju“.

Zaključak

Ovo je sve ukratko opis bez ikakvih političkih pitanja i činjenica koje se spominju u Snowdenovim iskazima, jer realno u politiku se niti razumem niti me interesuje. Pogotovo ne globalna. Takođe, stavovi koji su navedeni su moji lični, dakle ne bloga Umrežen. Ukoliko bude (a cenim da će biti) komentara tipa: „Ja ne radim ništa na internetu što bi bilo zanimljivo bilo kome“ ili „Jeste. baš će mene da prate“ možete nam poslati vaše usere i password-e da eto mi u slobodno vreme koristimo vaše mail naloge  Kraju šala, nema nikakve namere da izazovem paranoju ili strah, već je ovo samo podsetnik šta se dešava po internetu, da znate da neko negde tamo može u 3 klika da dođe do gomile podataka o svakome od nas.

loading...
Continue Reading

Anonymous Srbija

Ovaj video moraju svi da pogledaju: Bankarski kartel, štampanje novca, zaduživanje države, medijski mrak, Vučić.

Published

on

By

ko stampa novac

Kako su sve zemlje pale u dužničko ropstvo bankama: ko štampa novac i kome zapravo, sve zemlje sveta duguju novac?

Ovo je video koji svaki građanin Srbije treba da pogleda i da ga posluša do kraja , a onda će vam mnoge stvari biti mnogo jasnije.

loading...
Continue Reading

Anonymous Srbija

Peticija za naplatu ratnih reparacionih odšteta nemačkih-NATO međunarodno verifikovanih dugova zbog agresije nad Srbijom i Srpskim narodom.

Published

on

By

peticija za naplatu ratnih odsteta

Preko 3 miliona srba iz otadžbine i dijaspore ima pravo na naplatu ratnih reparacionih odšteta od 1918.godine. ! Svi koji su zainteresovani peticiju mogu potpisati OVDE

TU SE U NAJVEĆEM BROJU NALAZE ONI POTPUNO ILI DELIMIČNO OBESPRAVLJENI, SOCIJALNO I ZDRAVSTVENO UGROŽENI, ZABORAVLJENI OD FAMILIJE I PORODICE, I NA MARGINI SRBSKOG DIKTATORSKOG DRUŠTVA, POD FAŠISTIČKOM OKUPACIJOM NEO-NACISTIČKOG ANGELINOG TERMINATORA SRBA MURATA 2.A.V.-MUSLIU !

SVAKOM OD OVIH POMENUTIH NESREĆNIKA, NASLEDNIKA ILI ŽRTVE VEKOVNOG GENOCIDNOG ISTREBLJENJA SRBA SA SVOG OGNJIŠTA I BALKANA, AGRESORSKE ZVERI NSP 4.RAJHA / NWD DUGUJU OD PAR DESETINA HILJADA €, DO NEKOLIKO DESETINA ILI STOTINA MILIONA € ZA NADOKNADU RATNIH ŠTETA I ZLOČINA PROTIV ČOVEČNOSTI KOJI PO MEĐUNARODNOM PRAVU NIKADA NE ZASTAREVAJU !

ZAHVALJUJUĆI NAMETNUTOJ OKUPACIONOJ DIKTATURI NSP U SRBIJI, OVO EGZISTENCIJALNO PITANJE ZA SRBE SE VEĆ DECENIJAMA NE REŠAVA, ALI SE NACISTIČKIM METODAMA IZVRŠAVAJU NALOZI PRIVATNIH IZVRŠITELJA KOJI SE USUĐUJU DA ODUZIMAJU IMOVINU DUŽNIKA KOJIMA PRETHODNO DRŽAVA SRBIJA NIJE ISPLATILA SVOJ MEĐUNARODNO PRIZNATI I VERIFIKOVANI REPARACIONI DUG ! KAO I U SVIM OSTALIM OBLASTIMA U SRNSKOM DRUŠTVU, TRENUTNO SE SPROVODI PROTIV USTAVNI I NEZAKONITI TEROR NAD OBESPRAVLJENIM, OPLJAČKANIM I NEMOĆNIM GRUPAMA, PORODICAMA I NEPODOBNIM POJEDINCIMA – ČEMU MORA DOĆI HITAN KRAJ !

POTPIŠITE OVU PETICIJU HITNO, I PROSLEDITE JE SLEDEĆEM OD POMENUTIH 3 – 3,5 MILIONA ! ONA JE JEDINI ZNAK I DOKAZ PUTINU I BRICSu DA SRBI VIŠE NEĆE TRPETI SATIRANJE I ZATIRANJE NAMETNUTOG VELEIZDAJNIKA I PLAĆENIKA EAST-WEST TRILLATERALE, SOROŠA, ANGELE HITLER, TONIJA BLERA, KLINTONA, BUŠA, M.OLBRAJT, BŽEŽINSKOG I OSTALIH SATANISTA NSP 4.RAJHA / NWD !
NE DOZVOLIMO JOŠ JEDAN JASENOVAC 2 !

ŽIVOT JE VREDAN SAMO U SLOBODI !

loading...
Continue Reading

Zaprati nas na Facebooku

Trending