alfi píše:
Zatím jsem většinu pokusů o zneužití SIP hesla viděl ze států typu palestina, čína nebo afrika, tj. IP whitelist šanci na zneužití celkem slušně snižuje (předpokládám, že většina jde nějakým skriptem, tj. zkoušení přihlášení ze spousty zemí se asi moc nedělá). Trefit aktuální seznam ČR adres už je na vás
(taky jsme jej používali a občas aktualizovali - zásadní problém s tím nebyl).
Tohle ale spolehlivě řeší omezit počet pokusů. Pokud nemáte heslo 1234 a máte omezený počet pokusů, heslo je neuhádnutelné. Náhodný útočník z internetu by si navíc neměl být jist ani jménem.
Problém byl, že velká část ústředen útočníkovi prozradí, jestli zkouší platné přihlašovací jméno a pak jej nechá vyzkoušet několik milionu hesel... Bylo to defaultní chování např. ústředny Asterisk.
Podle mne tyto věci mají být ošetřeny už v návrhu protokolu, protože mít neomezený počet pokusů je do nebe volající hloupost. Nic jako šifrování nepomůže.
Odorik má hádání hesla a jakékoli podivné chování "skenování" ošetřeno už hodně dlouho a na dobré úrovni, útočník skenující internet nás zpravidla ani nenajde. K SIP heslům se útočník zatím vždy dostal přes telefon nebo ústřednu uživatele, vždy se podařilo najít způsob, jakým to provedl. Tedy zatím nikdy to nebylo přes odposlouchávanou wifi síť. A jakmile zná SIP jméno a heslo, omezení na IP adresy z ČR opravdu nefunguje.
Bohužel dle mého názoru velká část "expertů" na bezpečnost moc chytrosti nepobrala. A místo aby omezili počet pokusů, tak vymýšlí hlouposti jako povinné obskurní znaky v heslech. Mít neobvyklé znaky může být užitečné, pokud chci mít co nejkratší heslo. Zvolím-li si heslo o dva znaky delší, jestli heslo obsahuje velké písmeno nebo číslici, už není podstatné. "Experti" si také často vynucují povinné pravidelné měnění hesel. Pravidelné měnění hesel je pracné a vede k tomu, že lidé nemají šanci si tolik hesel zapamatovat a obvykle mění v heslu jen jednu číslici (tedy je to k ničemu), nebo si hesla zapisují někde na monitor a podobně. A velmi to obtěžuje. Většina lidí má hesla uložená ve svém webovém prohlížeči, či jiném programu a zobrazit si hesla může každý, kdo se na chvíli dostane k Vašemu počítači, včetně útočníka z druhého konce světa, který Vás ani nezná.
O ovládat bankovní aplikaci můžete bez problému ze zavirovaného děravého androidu, to expertům nevadí. Vadit to začne, až se vyskytnou nějaká vážná zneužití, které už nepůjde mediálně bagatelizovat. Ale není to jisté. Platba platební kartou na internetu je také nebezpečná už z principu a zatím to prochází. A takový paypal má tak vysokou marži, že zaplatit občas nějaký ten podvod ze svého mu nedělá problém. A nebo ztrátu přenese na chudáka obchodníka, který ale za to nemůže. Dříve také expertům stačilo k bankovním převodům zadávaným online jen jméno a heslo. A až po nějakých problémech s autorizačními SMS.
Čekám nyní, který "expert" se jako první odváží vyslovit myšlenku, že provádět bankovní platby jen pomocí jednoho děravého android zařízení není dvakrát moudré. Pravda moc se v bezpečnostních opatřeních (a pseudobezpečnostních opatřeních), která tomu mají zabránit, neorientuji. Pravděpodobně se počítá s tím, že android není děravý a nedovolí, aby jedna aplikace šmírovala, vykradla data jiné, nebo ovládala jinou aplikaci. A na tomto děravém předpokladu stojí a padá bezpečnost velké části peněz na bankovních účtech.
Přes všechny hlouposti, kterých se tito bezpečnostní experti dopouští, ale mají tendenci přeceňovat šifrování. Je to moderní. Šifrování vás ale zpravidla ochrání jen před vašim nejbližším okolím, jako majitelem wifi a ostatními uživateli wifi. Také by mohl šmírovat poskytovatel internetu, ten má ale jiné zájmy. U agentur typu NSA lze předpokládat, že mají k dispozici zadní vrátka/dostatečný výkon k rozlousknutí většiny šifrování, tedy tam ochrana šifrováním není jistá, navíc tyto ďábelské agentury mají obvykle páky na poskytovatele obsahu, aby o vás vyzradili, co potřebují vědět, případně vás i zablokovali, když budete nepohodlný. Myslím, že ilegální šmírácí typu NSA v ČR vůbec neoperují, jejich operační prostor je především vyspělý západ a podmořské kabely.