|
|
|
|
|
|
|
Davon ab: Passwort-DBs muss man immer noch Bruteforcen, wenn die PWs als Hashes gespeichert sind, so wie es mittlerweile Standard ist.
Und automatische Sperren sind nur so viel wert wie die Hardware dahinter. Sonst kopiert man den Header, oder wenn man nur so rankommt, den Header samt Sperre 10000 mal und bruteforct so die PIN auf die Art. Aus den Vault 7 Leaks vorletztes Jahr ging hervor, dass die CIA sich für 50M Exploits für (u.a.) alle laufenden Systeme mit physischem Zugriff kaufen konnte und das liegt daran.
---
Btw, a propos bruteforcen: Irgendwer wird sicher mal auf die Idee kommen, systematisch Bilder von Imgur runterzuziehen. Die privaten ohne Titel kann man zwar nicht gezielt per Suchmaschine finden, aber sehr wohl indem man https://i.imgur.com/XXXXXX.jpg bruteforced. Dabei kommen (52*10^7-52*10^6) Ergebnisse rum - 500 Millionen. Jede Privatperson mit ausreichend Asche kann sich ein Botnetz (die großen haben 100k-1Mio Rechner) für ne Stunde mieten und mit nur wenigen Abfragen pro Bot einen signifikanten Teil davon abgrasen, ohne dass das auffällt... und anschließend das Fappening des Jahrtausends veranstalten. Die Bilder lassen sich nämlich per Gesichtserkennung auch problemlos Leuten zuordnen, und die Gesichter sind wiederum mit Namen auf Facebook zu haben.
Nur mal so ein Beispiel für ein System, was auf begrenzte Versuche baut und deswegen früher oder später von vorne bis hinten zerlegt werden wird. Hätte man statt 7 Stellen pro Bild 16 genommen und damit die Kombinatorik abgesichert, wäre dieser Angriffsweg für immer dicht, weil der begrenzende Faktor die Zahl der angreifenden Rechner sind.
|
|
[Dieser Beitrag wurde 5 mal editiert; zum letzten Mal von indifferent am 25.09.2017 23:40]
|
|
|
|
|
|
|
|
|
Ziemlich interessante Idee 
Aber die Formel (52*10^7-52*10^6) kann ich gerade nicht nachvollziehen 
|
|
|
|
|
|
|
|
|
|
|
|
26 Buchstaben in jeweils Groß- und Kleinschreibung (also 52 Zeichen) und sieben Stellen (sind es immer sieben?) komme ich auf 52^7 Varianten, was etwas mehr Rechen-Power brauchen würde…
|
|
|
|
|
|
|
|
|
|
|
|
Weil sie falsch ist. XXXXX.jpg (e: es sind nur fünf Stellen) mit X aus alnum sind 62^5 = 9e8, also 900 Millionen, mögliche Kombinationen.
|
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von csde_rats am 26.09.2017 0:03]
|
|
|
|
|
|
|
|
|
Der Rest passt mit 900 Mio noch genauso. 
|
|
|
|
|
|
|
|
|
|
|
|
Danke, das mit 62^5 klingt sinnvoll
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von csde_rats
Weil sie falsch ist. XXXXX.jpg (e: es sind nur fünf Stellen) mit X aus alnum sind 62^5 = 9e8, also 900 Millionen, mögliche Kombinationen.
| |
Jo, stimmt, wenn man die Zahlen 0 bis 9 noch dazunimmt, dann hat man 62 mögliche Varianten hoch Anzahl der Stellen des Dateinamens.
// Und das alles multipliziert mit der Anzahl der unterstützten Bildformate. Ich glaube das sind bei imgur noch einmal um die zehn.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von SirHenry am 26.09.2017 0:10]
|
|
|
|
|
|
|
|
|
|
Bildformat ist iirc egal, imgur liefert einfach irgendwas aus.
|
|
|
|
|
|
|
|
|
|
|
|
Und wo finde ich jetzt diese Bilderdatenbanken, die heruntergeladen wurden?
|
|
|
|
|
|
|
|
|
|
|
Es ist ja noch nicht passiert. Aber es ginge.
Die Rechnung war zwar Käse, aber das Ergebnis zufällig in der richtigen Größenordnung.
|
|
|
|
|
|
|
|
|
|
| | Zitat von indifferent
Es ist ja noch nicht passiert. Aber es ginge.
Die Rechnung war zwar Käse, aber das Ergebnis zufällig in der richtigen Größenordnung.
| |
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von Armag3ddon
Und wo finde ich jetzt diese Bilderdatenbanken, die heruntergeladen wurden?
| |
Du hast vergessen: "bereinigt um alles, worauf man nicht masturbieren kann." 
|
|
|
|
|
|
|
|
|
|
|
Minus mal Minus gibt Plus!
Ich hatte den Kram auch irgendwann vorher schonmal richtig gerechnet, als mir die Idee gekommen ist. Ist ja jetzt nicht grade Rocketscience.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von SirHenry
| | Zitat von Armag3ddon
Und wo finde ich jetzt diese Bilderdatenbanken, die heruntergeladen wurden?
| |
Du hast vergessen: "bereinigt um alles, worauf man nicht masturbieren kann."
| |
Dafür müsste man noch kurz irgendwas von DeepMind anmieten und auf Muschierkennung laufen lassen.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von SirHenry
| | Zitat von Armag3ddon
Und wo finde ich jetzt diese Bilderdatenbanken, die heruntergeladen wurden?
| |
Du hast vergessen: "bereinigt um alles, worauf man nicht masturbieren kann."
| |
Du oder die Menschheit?
|
|
|
|
|
|
|
|
|
|
|
|
Ich war früher ab und an mal auf 4****… nee, da gibt es zu viel krankes Zeug. Das muss schon auf meine Fetische zugeschnitten sein.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Also ich finde das stinkt zum Himmel... Mir kann keiner erzählen, dass die aus schierer Unfähigkeit immer noch bei nem Windows/Skype Trojaner festhängen. Klingt haargenau wie die FBI vs Skype geschichte, bis runter auf 'ja, der Schrott hat euch X Millionen gekostet'. Damals wurde eigentlich darauf gespielt, die Hersteller zu LI-Backdoors zu zwingen.
Als der neue Bundestrojaner durchgedrückt wurde, haben die Hurensöhne vor allem zwei Sachen hoch und heilig versprochen:
1. Kein Kauf von Exploits auf "Schwarz- oder Graumärkten"
2. Keine Kooperation mit unseriösen Firmen, die in Diktaturen verkaufen (=FinFisher)
Wenn wir weiter GroKo bekommen hätten, wäre in ein paar Monaten beides erlaubt. Schauen wir mal, was jetzt passiert. Nummer 1 wäre scheisse genug, wird aber eh kommen denke ich. Nummer 2 ist dann der Punkt, der die politische Kontrolle der Massnahme unmöglich macht und von da gehts kaum noch zurück. Siehe Geheimdienste.
|
|
|
|
|
|
|
|
|
|
|
|
Die die Parteien, die die neue unheilige Allianz bilden sollen, sind in der Hinsicht auch nicht viel anders. Gerade die Grünen zeichnen sich abseits ihrer Blase als zu unbedarft in solchen Dingen und sehr empfänglich für Lobbismus der anderen.
|
|
|
|
|
|
|
|
|
|
|
Mhhhmmmm... mal abwarten. Es hängt wohl zukünftig vor allem von der CSU ab, wie sehr sie einen auf Nazistasi machen will. FDP und Grüne hatten jedenfalls versprochen, da nicht mitmachen zu wollen, und die Chancen stehen bei diesen Mehrheitsverhältnissen dazu auch nicht schlecht, denke ich. Mal sehen.
Den Kommentar fand ich ganz gut:
Bundestagswahl: Ein Hoffnungsschimmer für die Netzpolitik | ZEIT
Sollte es zu einer Jamaikakoalition kommen, dürfte die Netzpolitik profitieren. Wenn sich Grüne und FDP auf ihre Positionen besinnen. Und wenn da nicht die CSU wäre.
| | [...]Bundeskanzlerin Angela Merkel (CDU) könnte daher künftig mit zwei Parteien koalieren, die gerade in Fragen der Innen- und Sicherheitspolitik deutlich stärker auf die Bürgerrechte achten. So leicht wie mit der SPD hätten sich Vorratsdatenspeicherung, Bundestrojaner oder das Netzwerküberwachungsgesetz mit Grünen und FDP sicher nicht durchsetzen lassen.[...]
Dass sich Union und FDP in Fragen der inneren Sicherheit nicht einig sind, zeigte schon die schwarz-gelbe Koalition von 2009 bis 2013. Damals weigerte sich Bundesjustizministerin Sabine Leutheusser-Schnarrenberger beharrlich, eine Richtlinie der Europäischen Union zur Vorratsdatenspeicherung umzusetzen. Ihr Nachfolger Heiko Maas von der SPD war da weniger standhaft.
Wenn sich die Union außer gegen die FDP in der Koalition zusätzlich gegen die Grünen durchsetzen muss, dürfte es für sie noch schwieriger werden, ihre Überwachungsfantasien in die Realität umzusetzen. Das ist alleine schon eine Frage der Arithmetik: 2009 war die Union 2,3-mal so stark wie die FDP, in einer Jamaikakoalition wäre sie nur 1,7-mal so stark wie die beiden Partner. Das Verhältnis wäre so ähnlich wie in der zu Ende gehenden großen Koalition.
Als größter Störfaktor dürfte sich dabei die CSU herausstellen. Diese fordert in ihrem Bayern-Plan, die Vorratsdatenspeicherung auf sechs Monate auszudehnen. Zudem soll der Verfassungsschutz bundesweit auf die Daten zugreifen können. Das Problem: Die CSU ist bei der Bundestagswahl noch stärker als die CDU abgestürzt und fuhr ihr schlechtestes Ergebnis seit 1949 ein.
Da im kommenden Jahr in Bayern ein neuer Landtag gewählt wird, könnte die Partei unter einem angeschlagenen Parteichef Horst Seehofer versuchen, sich innenpolitisch als Hardliner zu etablieren. [...]
Die wenigen Beispiele zeigen: Die Koalitionsverhandlungen zwischen Union, FDP und Grünen könnten zu den schwierigsten in der Geschichte der Bundesrepublik werden. So ist es kaum vorstellbar, dass die Union von sich aus die Vorratsdatenspeicherung wieder kippen wird. Allerdings können Grüne und FDP in diesem Punkt hoffen, dass Gerichte die neue Regelung endgültig kippen. Bislang ist die Speicherung faktisch nur ausgesetzt. | |
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von Herr der Lage am 27.09.2017 16:05]
|
|
|
|
|
|
|
|
|
Die FDP hat mit Leutheusser-Schnarrenberger (Justiz) in der letzten Koalition in der Hinsicht durchaus akzeptable Arbeit getan. Die entscheidende Frage ist da, ob die FDP die Besetzung der entsprechenden Ressorts mit Leuten ähnlichen Kalibers hinbekommt.
e: Bei den Grünen braucht man sich in der Hinsicht weder Hoffnungen noch Illusionen machen.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von csde_rats am 27.09.2017 16:26]
|
|
|
|
|
|
|
|
|
NSA empfiehlt Virtualisierung als Sicherheitsmassnahme für Smartphones:
https://www.itworld.com/article/3193420/mobile/nsa-suggests-using-virtualization-to-secure-smartphones.html
Natürlich auf die ihnen eigene Art:
| | | CSFC is a program developed by the NSA to help U.S. government agencies and the businesses that serve them to quickly build layered secure systems from approved components. | |
Janeisklarchef, und den Appstore kauf ich dann bei FinFisher.
Ich bastele grade mit sowas Ähnlichem rum (CHRoot/Linux) und die Idee hat echt Potential finde ich, früher gings nicht weil die Telefone zu wenig Power für bedienbare Virtualisierung von irgendwas Nützlichem hatten. Jetzt müsste das Ganze nur noch von irgendwem in eine Form gegossen werden, die man auch praktisch (=ohne endlose Fummelei) einsetzen kann.
|
|
|
|
|
|
|
|
|
|
|
|
Sind hier auch die VPN-Spezialisten unterwegs? Was ist von Seed 4 me zu halten? Die bieten gerade sechs Monate kostenlosen Zugang.
|
|
|
|
|
|
|
|
|
|
|
|
Generelle Tipps? Irgendwie ist das ja echt eine Vertrauensfrage. traceless.me hat zumindest ein wunderbar funktionierendes Windows Programm zum an- und abschalten.
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von FoB
Sind hier auch die VPN-Spezialisten unterwegs? Was ist von Seed 4 me zu halten? Die bieten gerade sechs Monate kostenlosen Zugang.
| |
Hier schreiben 2-3 Leute auf Reddit dazu:
| | | When a service is free, it means that you are the product being sold. | |
| | | When using any kind of vpn provider you habe to know that they could be reading everything you do. some might even inject ads into your traffic. so beware. | |
| | You are asking people you don't know, and have no basis to trust whether you should trust a third party. First, I would tend to agree with uid0, not just because he is root  , but because his assertion is generally correct from my 20+ years experience in this space. Secondly, I would also definitely agree with Kubertus on the potential threat and note that his assertion applies to any VPN. The problem with a "free VPN" is that the bandwidth in play has a real cost associated with it, and is being paid for somehow. I did a bit of basic research...
1. pochtoy.com (the 'free' VPN provider referenced) has a homepage that is in Russian.
2. When traced, the site, on AS16215 is apparently in France.
3. It is registered with GoDaddy
4. It does not even have matching/ reverse
So, these things considered, I wouldn't even touch it with Trump's dick. But all of these things aside, my best advice would be that if you are/were thinking about it seriously, you should not seek my, or our advice but rather, identify someone that you trust with the technical knowledge necessary to make a determination that you can trust at some level appropriate to your intended use.
| |
Hier gibt es einen VPN-Vergleich:
https://thatoneprivacysite.net/vpn-comparison-chart/
Eine Bestenliste wird laut Autor extra nicht angegeben, weil der User selber entscheiden soll.
Wenn ich mal Seed4.me mit AirVPN vergleiche, welchen ich benutze, fällt auf, dass Seed4.me z.B. IP-Adressen und Timestamps mitlogt (wohl, weil sie gesetzlich dazu in Russland verpflichtet sind >, damit z.B. Urheberrechtsverstöße an die User weitergeleitet werden können - wenn sie das nicht tun, werden wohl ihre Server stillgelegt), dass sie keine eigenen DNS-Server als Leak-Protection oder IPv6 Leak Protection haben, dass sie keine Obfuscation unterstützen, dass manche P2P-Ports geblockt werden, und dass es keine Angaben zur Verschlüsselung gibt (vielleicht, da laut obigem Link gilt "In addition, all the "organizers of the dissemination of information on the Internet", which somehow work with encryption, will have to provide the secret services with the keys to decrypt the data.")
VPN-Anbieter gibt's wie Sand am Meer, da jeder einfach irgendwo ein paar Server mieten kann. Da einen passenden zu finden, ist halt irgendwie Vertrauenssache und hängt auch etwas davon ab, was du damit vorhast. Garantien kann dir keiner geben. Aber gerade bei kostenlosen Servern sollte man sich sehr genau fragen, wie die das bezahlen, denn durch deinen Traffic entstehen denen ja Kosten.
https://thatoneprivacysite.net ist wie gesagt einen Blick wert, ebenso wie auf Reddit r/vpn, oder r/vpnreviews. Aber auch da sollte man umsichtig sein, denn auf Reddit kann sich natürlich auch jeder einfach registrieren mit ein paar Fake-Accounts und schreiben "mein VPN ist der beste".
|
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von Herr der Lage am 02.10.2017 20:53]
|
|
|
|
|
|
|
|
|
| | Zitat von FoB
Sind hier auch die VPN-Spezialisten unterwegs? Was ist von Seed 4 me zu halten? Die bieten gerade sechs Monate kostenlosen Zugang.
| |
Sieht schäbig aus.
1. Keine Zertifikate/OVPN Profile zum Download, nur deren eigene App
2. 6 Monate gratis heisst, dass sie gar nicht darauf aus sind, zahlende Nutzer zu bekommen. Dann ist der eigentliche Kunde nicht der Nutzer, sondern irgendjemand Anderes.
3. Alles was unter "about" steht ist inhaltloses Gesabbel in katastrophalem Englisch. Da steht nichts zur eigentlichen Technik.
| | | Seed4.Me is closed private club. In order to provide best in class performance it is very important to control number of users. Only invited person can join the club. Invitations are issued only when new servers merged to our infrastructure. This way we can guaranty that connection quality is always outstanding. Despite to other VPN providers we can afford very flexible rates. | |
Also wenn du damit Netflix entsperren willst ist es vielleicht noch okay, aber ich würd das nicht mal mit der Kneifzange anfassen.
/Oh, da war ja noch ein Post und ich bin mal einer Meinung mit Reddit
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von indifferent am 03.10.2017 10:17]
|
|
|
|
|
|
|
|
|
Anhörung der Geheimdienstchefs - "Wir brauchen einen vollen Werkzeugkasten" | SPIEGEL
Premiere im Parlament: Erstmals stellen sich die Präsidenten der drei Geheimdienste öffentlich den Fragen ihrer Bundestagskontrolleure. Mitgebracht haben sie einen Wunschzettel für mehr Befugnisse.
| | BfV-Präsident Maaßen sagte, die Dienste brauchten "einen vollen Werkzeugkasten, mit dem wir in der Lage sind, die Probleme von heute zu lösen". Vor allem das Spannungsverhältnis zwischen Datenschutz und Sicherheit dürfe "nicht statisch und schon gar nicht dogmatisch" gesehen werden.
Gerne etwa hätte Maaßen Zugriff auf die IP-Adressen all derjenigen aus Deutschland, die sich Enthauptungsvideos des IS ansehen, um sie mit den IP-Adressen amtsbekannter Islamisten abzugleichen. Die Terroranschläge von Orlando oder Nizza hätten gezeigt, dass sich die Täter kurz vor dem Morden solche Videos angesehen hätten.
Auch bei der Cyberabwehr bräuchten die Behörden "niederschwellige Möglichkeiten", sagte Maaßen. Hackback heißt die umstrittene Methode, wenn Behörden nicht nur Hackerversuche abwehren, sondern die Hacker selbst angreifen. Diese Möglichkeit brauche man, um etwa gestohlenen Daten auf dem gegnerischen Server zu löschen oder selbst Daten beim Angreifer abzapfen zu können.
Dazu allerdings, sagte der BfV-Präsident, fehlten in Deutschland die Gesetze. Über die wird sich nun der neue Bundestag streiten müssen. | |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von indifferent
Davon ab: Passwort-DBs muss man immer noch Bruteforcen, wenn die PWs als Hashes gespeichert sind, so wie es mittlerweile Standard ist.
| |
In diesem Video wird das Gegenteil bewiesen.
|
|
|
|
|
|
|
|
|
|
|
Einen guten Teil der Pws aus Datenbanken kann man leicht mit vorhandenen Wordlists cracken.
Bruteforce ist das letzte Mittel weils einfach viel länger dauert.
|
|
|
|
|
|
|
|
| Thema: Verschlüsselung und Anonymität III ( Privatsphäre jetzt ) |
Wilders Security Forums
