Vigyázat, pongyola! Csak laikusoknak.

A hackerfeleség naplója

6 tipp a biztonságos karácsonyi vásárláshoz

2016. november 25. - hackerfeleség

Igazán remek dolog az online vásárlás. Nagyban megkönnyíti az ember életét, de hogy biztonságos is legyen, íme hat tipp:

1. Keresd a https-t!

A böngésződ felső részén van egy sáv, ott találod az URL-t, más néven webcímet, ami azt mutatja, hogy milyen oldalon jársz.

Kizárólag olyan oldalon vásárolj, amit https protokollon át érsz el. A http nem elég, nem biztonságos, erre vásárláskor különösen figyelj oda.

https-screenshot.png

A https előtt még egy zöld lakat is jelzi, hogy igen, biztonságos oldalon jársz. Tehát csak ott vásárolj, ahol van zöld lakat, ahol az oldal URL-je így kezdődik: https://...


2. Mindig figyelj az URL-re!

Az URL másik nagyon fontos része a domian: (aldomain.)valami.hu A zárójelben lévő résszel nem feltétlenül találkozol, de figyelj csak!

[Az alábbiakban példákat mutatok, nem biztos, hogy ilyen formában tényleg léteznek is ezek az oldalak, de demonstrálni remek lesz. Ha valami mégsem világos, kérdezz bátran!]

  • Az otp.hu egyértelmű: ez az OTP weboldala.
  • A belepes.otp.hu is rendben van: ez az OTP egy aloldala, ahol mondjuk beléphetsz valahová.
  • Ehhez mit szólsz? belepes.opt.hu
    Olyan, mintha, de nem!
    Ez már nagyon nincs rendben! Lehet, hogy a weboldal amúgy pont úgy néz ki, mint az OTP weboldala, de ez mégsem az! Ezen az oldalon jó eséllyel már lopják is a banki adataidat.

Szóval ezért nagyon fontos, hogy mindig figyelj a weboldal címére is, ne csak a kinézetére!


3. Figyelj az e-mailben érkező ajánlatokra!

Különösen a számodra ismeretlen (nem regisztráltál ilyen oldalra, nem is jártál ilyen oldalon, stb.) feladótól érkező levelekkel légy bizalmatlan.
Ami túl szép, hogy igaz legyen, az általában nem is igaz - ne kattints, ne akarj ilyen e-mailek alapján vásárolni semmit!

Egyébként az ismerős(nek tűnő) feladótól érkező e-mailekkel is légy körültekintő. Nézd meg a feladó e-mail címében szereplő domaint (a @ utáni rész), mert itt is járhatsz úgy, mint a fenti példában szereplő OTP-s domainnél.


4. Ne vásárolj nyilvános / open wifi-t használva!

Remek dolog a nyilvános wifi, csak éppen nem biztonságos. (Hogy a szuperszexi képeid biztonságban legyenek című postban már említettem a nyilvános wifi árnyoldalát, tudod, olyan, mint a mekiben hallgatózás.)

Biztonságos hálózaton (mondjuk otthon - remélhetőleg az otthoni hálózatod biztonságos, de beszélünk majd még erről is) keresztül vásárolj csak.


5. Használj jelszómenedzsert!

Muszáj bonyolult jelszavakat használni, ahhoz, hogy biztonságban légy. Persze ezeket is simán el lehet lopni. Soha, de soha, de soha ne ments el jelszavakat például böngészőbe! Persze, tök egyszerű, hogy két kattintással belépsz bármilyen oldalra, de az kb. annyira biztonságos, mintha a homlokodra tetováltatnád a bankkártyád minden adatát.

Egyébként a jelszómenedzsereket használva is két kattintással jutsz be bármilyen oldalra, ráadásul így használhatsz bárhova brutálisan hosszú, random generált jelszavakat. Ezek titkosítva tárolnak mindent, tehát ha fel is törik a géped, vagy összeszedsz egy vírust, a jelszavaid akkor is biztonságban lesznek. (Amúgy meg a brutálisan hosszú, random generált jelszavakat jóóó sok idő feltörni.)


6. Használj vírusirtót, a vírusirtód legyen mindig naprakész!

Te is utálod, hogy folyton jönnek a kis ablakok, hogy valami újabb frissítés érkezett a gépedre? Nem baj. Utáld bátran, de telepítsd a frissítéseket, mert ezek tartalmazhatják a korábbi biztonsági rések javítását. A vírusirtóból pedig egyenesen kötelező mindig a legfrissebb!

A bejegyzés trackback címe:

https://hackerfeleseg.hu/api/trackback/id/tr3811998460

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

szepipiktor 2016.11.26. 12:48:22

Ugye tudod, hogy akik ezeket nem ismerik, azok a büdös életben nem olvasnak ilyen blogot?
Viszont nem írtál a legfontosabbról!
Mindig vásárolhatsz ha banki utalást választod! Akkor te kapsz adatokat - ezeket is ellenőrizheted - és a bankod védett rendszerén keresztül fizethetsz.
Viszont ha idióta vagy és valami átverős oldalról vásárolsz, akkor meg semmi sem véd...
(Vannak további megoldások is, például SOHA ne vásárolj ismeretlen területen működtetett webshopból, csak hazai, EU-s vagy amerikai területről, mert ezeknél megvannak a jogi garanciák is. És nézzük meg, hogy a áruháznak van-e hazai vagy EU-s része... De egy bantu szigeteki shopból ne vásároljunk semmit, legyen az bármilyen olcsó, mert ha nem is az adataidat lopják el, de a pénzedet biztos.)

énisfélek 2016.11.26. 13:13:30

Ha okos ember nem menti el SEHOVA a jelszavakat,
akkor okos ember jelszómenedzser szoftverre sem bízza rá a jelszavakat.

Aki túlbonyolított jelszavakat használ, az meg sem próbálja fejben megjegyezni őket, tehát rákényszeríti magát, hogy valahová eltárolja őket, ahonnan aztán el is lehet lopni a jelszavait. A fejéből viszont nem lehet ellopni, tehát válassz olyan jelszókat, amit könnyen meg tudsz jegyezni.

énisfélek 2016.11.26. 13:17:33

Az átverős domain nevek közül kimaradt egy fontos kombináció:
otp.hu.belepes.hackerdomain.com
Egy gyakorlatlan laikus erről is azt gondolhatja, hogy az OTP bank domainneve, pedig nemis.

Szántó Gábor · http://choirs.oftheworld.club 2016.11.26. 14:04:55

@énisfélek: 'Ha okos ember nem menti el SEHOVA a jelszavakat,
akkor okos ember jelszómenedzser szoftverre sem bízza rá a jelszavakat.'

Már bocs, de ez nettó zöldség. Megnéztem a jelszó manageremet, cc 1200 jelszó, amikből legalább 1000 10+ karakteres, szupererős jelszó. A többi a localhostomra vonatkozó, kényelmi szempontból tárolt 123456 szintű cucc. A Háború és békét is könnyebb szóról szóra berántani, mint az összes jelszavamat

A mesterjelszót kell jól kiválasztani + a saját encode patternt megjegyezni, amit pl két havi cserével még biztonságosabbá teheted.

Megjegyzed, hogy az alapjelszó: szuperjelszó - nem nagy cucc, egész életen át kísérhet. Létrehozás dátuma: 201611 Módosító 35. Ez utóbbi kettőt fel is írhatod papírra.
Így a jelszavad: szU–peRŧjelszó2
Na és most találd ki az algoritmust, ami alapján ez a jelszó elkészült!

minimalis 2016.11.26. 14:06:40

@szepipiktor: Internetes vásárlásoknál én mondjuk a bankkártyás fizetést preferálom. Ha valami nem jön össze, akkor ott a chargeback, mint opció. Míg, ha banki átutalással fizettél és nem kapod meg a terméket, akkor az a pénz nem visszahívható. Sokkal macerásabb folyamat mire kártérítenek.

@énisfélek: Miért ne bízná rá okos ember jelszómenedzserre? Hiába lopják el, egy normális szoftver titkosítva tárolja az adatbázist. Így nem kell számtalan karakterláncot megjegyezned, csak egyet.

---

Egyébként a nyilvános wifi se akkora probléma ma már, mint mondjuk pár éve. (HTTPS, HSTS) Csak oda kell figyelni.

kulup 2016.11.26. 14:51:11

Van itt még egy fontos dolog, nem is értem hogy maradhatott le. Legyen paypal-ed kettős hitelesítéssel, minden belépéshez kérj SMS kódot. Ezt még meg lehet fejelni egy netes kártyával, amire csak akkor teszel pénzt ha kell.

hackerfeleség 2016.11.26. 15:34:42

@énisfélek: Jogos, jogos! Köszi az észrevételt.

toportyánféreg 2016.11.26. 17:57:01

a 2 sor abszolút igaz

mármint hogy pongyola, és hogy csak laikusoknak :)

A feleség hackere · http://hackerfeleseg.hu 2016.11.26. 20:45:14

@énisfélek: Nem ertek egyet. Eros jelszot kell hasznalni es mindenhova masmilyet. En nem sok jelszavamat ismerem, minden password safe-ben van, es termeszetesen tobb-szaz jelszorol beszelunk koztuk elegge fontos jelszavak, amikre igencsak vigyazni kell. A jelszotarolo alkalmazas telefonon, bongeszon keresztul, laptopon nativ klienssel is elerheto, mindenki boldog. A titkositas a kliensen tortenik, szerverre a mar titkositott allomanyok mennek es azt osztja meg tobbi eszkozzel. Kivalo megoldas.

@minimalis: Igazad van, de igy is van sok olyan hely, ahova http-n keresztul lepsz be. Pl blog.hu. Vagy van ugyan https de van lehetoseg http-re, tehat a tamado downgradeelhet, pl netpincer. De emlithetnek nagyon sok szamitastechnikai nagykert pl. Persze ezek jelentektelen oldalak, de a pelda kedveert most megfelelnek. HSTS meg kismillio helyen nincs. IMAPS, SMTPS es tarsairol ne is beszeljunk. Egyebkent nem a tokeletes vedelem a lenyeg, hanem a kockazatok csokkentese. Nem tekinthetunk el egy gyengesegtol csak azert, mert remeljuk, hogy mas erossegek majd ellensulyozni fogjak.

@kulup: igazad van, de ha tokeletes oktatasra torekednenk, sajnos nem menne at az uzenet a bonylultsag miatt. A PayPal jo, en is szeretem hasznalni. De nekem kulon bankszamlam es bankkartyam van online vasarlasra, kulon szamla es kartya offline vasarlasra es kulon szamla kartya nelkul az 50ezer forintnal nagyobb osszegeknek. Igy mindig ondemand tudom hasznalni a kartyaimat minimalis kockazattal. Szoval lehet ezt meg fokozni boven :)

@toportyánféreg: eleslato megfigyeles, koszonjuk.

A feleség hackere · http://hackerfeleseg.hu 2016.11.26. 21:13:35

Az open wifihez valo csatlakozas tovabbi veszelye a tamadhatosag. Ha csatlakozol egy open wifihez, es persze megjegyzi automatikus csatlakozasra az eszkoz a wifit, akkor azt folyamatoan keresni fogja a kesobbiekben. A kommunikaciot monitorozva a tamado latja, hogy a teleofnod, vagy laptopod folyamatosan keresi -peldaul- a mcdonalds-free-wifi AP-t, akkor a tamado csinal neked egy ilyen AP-t, aztan deauthol az aktualisan hasznalt halozatrol es te igen nagy esellyel a tudtod nelkul fogsz csatlakozni a hamis AP-hoz, amin ugyanugy fogsz tudni internetezni, minden mukodni fog, csak kozben ott egy csunya hacker bacsi aki lehallgat mindent. Ez sima, hetkoznapokban mukodo eljaras, par perc alatt ossze lehet hozni.
Szoval az open wifi rossz. Sok szempontbol.
WPA/WPA2 wifivel mindez nem ilyen trivialis...

énisfélek 2016.11.26. 21:24:04

@Szántó Gábor: egy átlagos felhasználónak nincs szüksége 1200 jelszóra,
20-30 jelszó viszont bárki könnyedén fejben tarthat - feléve persze, hogy úgy választotta meg őket, hogy könnyen megjegyezhetők legyenek.

Ha valaki hozzáfér a jelszó managered adatbázisához és van egy jó erős gépe, amit kimondottan brute force célra rakott össze, az már nincs messze a céltól.

Szántó Gábor · http://choirs.oftheworld.club 2016.11.26. 22:23:01

@énisfélek: 'egy átlagos felhasználónak nincs szüksége 1200 jelszóra' - igazad van, az én helyzetem ebből a szempontból speciális, csak ma 3 új jelszó került a db-be.

20-30 jelszó viszont bárki könnyedén fejben tarthat - nem értek egyet. Egy jelszó onnantól biztonságos, hogy legalább 8 karakter, benne számmal, ALT+foo karakterekkel, és minden oldalon más és más.
Egy jó encode patternel nem lehetetlen következetes jelszavakat kitalálni, viszont akinek 'csak' 20-30 különböző jelszóra van szüksége az életben, jó eséllyel olyan felhasználó, akinek lövése nincs a témáról.

'Ha valaki hozzáfér a jelszó managered adatbázisához és van egy jó erős gépe, amit kimondottan brute force célra rakott össze, az már nincs messze a céltól.'

A technika mai állása alapján kizárt, hogy emberi időn belül megfejtsék a mesterjelszavamat. Ha csak egy mezei salted md5 hasht nézünk, már eleve az nem valószínű, hogy egyszerre szerezzék meg a db-t, meg a saltot is. Ha meg igen, a szU–peRŧjelszó2 salted/hashed karaktersorozatot brute force-al visszafejteni, kb a egy komplett ipari gépkapacitást igényel - mondjuk évekig 0-24h. És akkor csak az én jelszavamon dolgozik a fél google szerverpark.! Arról nem is beszélve, hogy a password management oldalak saját titkosítási algoritmust használnak, amit megint nem fog egy scriptkiddie megszerezni.

Félreértés ne essék! Minden feltörhető, minden jelszó visszafejthető. A kérdés az, hogy mennyi erőforrást igényel az adott jelszó feltörése, és az megéri-e annak, aki vissza akarja fejteni.
Szeretnék én annyi lóvét, amennyi után a világ összes hekkere az én masterpwd-mre vadászik..

énisfélek 2016.11.26. 22:27:29

@A feleség hackere: "Nem ertek egyet. Eros jelszot kell hasznalni "

Határozzuk meg, hogy mitől erős egy jelszó:
- tartalmaz kisbetűt, nagybetűt, számot és speciális karaktert
- nem tartalmaz (helyesen írt) szótári szót
- ne legyen túl rövid
Szerintem nem nehéz olyan jelszót kitalálni, ami megfelel a fenti három feltételnek és mégis viszonylag könnyen megjegyezhető. Szóval ha jelszó Levelibééka3$ azt nem kell felírni sehová, de ugyanez nem mondható el erről a jelszóról: XD~zx3F+>{b\K
...és az az érdekes, hogy a megjegyezhetetlen krikszkraksz jelszó semmivel sem biztonságosabb a levelibékánál, sőt, mivel a felhasználót rákényszeríti a feljegyzésére, ezért valójában az rosszabbik jelszó.

minimalis 2016.11.27. 00:42:07

@A feleség hackere: Persze én ezt nem vitatom, hogy még mindig sok oldal nem https only illetve nem támogatja a hsts-t. Azonban a fizetési felületek általában igen. Pl ahogy mondtad a netpincér támadható downgraddel, de a fizetés mindenképpen SSL titkosított csatornán történik. Persze, mitm támadással lehet, hogy nem az otp fizetési felületére irányít át, hanem az opt-re. Vagy ha hsts, akkor nem www.otp hanem wwww.otp (nem tudom, hogy ez valójában működik-e böngészőtől, dnstől is függ azt hiszem). Ezért mondtam hogy oda kell figyelni, de nem csak a mekiben, hanem otthon is.

A fake AP miben másabb, mint egy mitm arp spoof open wifin? Mindkettőnél azt hiszi a géped, hogy a támadó eszköz a router/ap.
Egyébként (ami engem abszolút meglepett,) egyes vírusirtók már felismerik az arp spoofot és egyéb mitm módszereket.

minimalis 2016.11.27. 00:53:50

@énisfélek: Semmivel sem rosszabb. Azért 1db huszonkarakteres jelszót, ami napi szinten van használva az adatbázis feloldásához, nem fogsz elfelejteni. Tehát az, hogy fel kell írni az hülyeség. Cserébe nekem csak 1 jelszót kell megjegyezni.

A feleség hackere · http://hackerfeleseg.hu 2016.11.27. 07:17:12

@minimalis: a pelda amit mondtal, tokeletes. Pont nemreg volt olyan projekt, ahol nem lehetett arp spoofolni, fake AP-zni viszont igen. De fake AP-val konnyebb dns spoofolni is ami viszont pokoli veszelyes es mar a MITM self signed cert problema is megoldva, mert az otp.hu az en gepemen fut. Marmint a fake otp.hu. Es az ARP spoof mocskosul zajos, a fake AP viszont utolag sem derul ki.

A feleség hackere · http://hackerfeleseg.hu 2016.11.27. 07:21:30

@énisfélek: ertem amit mondasz, ertem a logikat, de a gyakorlatban ez nem igy megy. Es pont ezert van a password safe, hogy nek elljen felirni sehova. A firefoxban megjegyeztetett jelszo nem biztonsagos, de egy beepulo password safe (keeper, lastpass stb) biztonsagos es ugyanolyan kenyelmes. Egy atlag user 2-3 jelszot tud megjegyezni es egy atlag user 2 jelszot hasznal mindenhova. Es amig ez a helyzet, addig csak elmeletileg van igazad. Viszont ha lesznek kenyelmesen hasznalhato es olcso password safe-ek, az emberek elkezdenek normalis jelszavakat hasznalni remelhetoleg.
A legnagyobb gond az amikor a levelibeeka234$-t hasznalod olyan helyen ahol nem tudod megvedeni (pl egy webaruhaz) es hasznalod olyan helyen is ami fontos. Pl ugyfelkapu. Nekem a webaruhazat kell megnyomnom, hogy hozzaferjek az ugyfelkapudhoz. Es mondhatod hogy meg lehet jegyezni es lehet csinalni jo jelszavakat, igazad van, de az emberek lustak es nem csinalnak. Ha tehetik akkor 4-5 karakter, egyszeru, hozzajuk kotheto jelszavakat hasznalnak. Majd irok errol is egyet nemsokara.

A feleség hackere · http://hackerfeleseg.hu 2016.11.27. 07:23:50

@Szántó Gábor @énisfélek: fogok irni a jelszotoresrol mert mindkettotoknek igaza is van meg nem is. A kep ennel sokkal arnyaltabb. Foleg ha nem csak az elmeletet vesszuk bele, hanem az emberi tenyezot is ami ebben az esetben kotelezo elem.

Szántó Gábor · http://choirs.oftheworld.club 2016.11.27. 10:08:14

@A feleség hackere: 'Foleg ha nem csak az elmeletet vesszuk bele, hanem az emberi tenyezot is ami ebben az esetben kotelezo elem.'

Hajrá. :) Nem akartam esszéket írni, ezért hagytam ki a usert magát. Holott egyértelműen a leggyengébb láncszem a folyamatban.