poczta głosowa i 2fa

Lukasz Jachowicz

unread,

Jan 15, 2019, 12:54:08 PM1/15/19

to

Przepraszam za autoreklamę, ale urzekło mnie zastosowanie poczty głosowej
do wykradania autoryzacji:

https://rebacze.pl/2019/01/automatyczna-sekretarka-zdradza-sekrety/

honej

John Doe

unread,

Jan 15, 2019, 5:37:55 PM1/15/19

to

Obszerniej: https://www.martinvigo.com/voicemailcracker/

Queequeg

unread,

Jan 16, 2019, 5:44:54 AM1/16/19

to

W sumie jak zawsze -- żeby przeciąć łańcuch, trzeba znaleźć najsłabsze
ogniwo.

Czekam na czasy, gdy będzie jakiś uniwersalnie akceptowany w większości
serwisów token, ale nie podłączany przez USB (jak U2F) tylko taki z kodem,
jak tokeny RSA. Nie przez SMSy, nie przez jakieś dziwne aplikacje dziwnych
firm, tylko zwykły token z kodem.

Btw, rebacze.pl to Twój nowy projekt?

--
https://www.youtube.com/watch?v=9lSzL1DqQn0

Lukasz Jachowicz

unread,

Jan 18, 2019, 3:15:38 AM1/18/19

to

On 2019-01-16, Queequeg <quee...@trust.no1> wrote:

> Lukasz Jachowicz <ho...@nospam.7thguard.net> wrote:

> Czekam na czasy, gdy będzie jakiś uniwersalnie akceptowany w większości
> serwisów token, ale nie podłączany przez USB (jak U2F) tylko taki z kodem,
> jak tokeny RSA. Nie przez SMSy, nie przez jakieś dziwne aplikacje dziwnych
> firm, tylko zwykły token z kodem.

Ja z kolei jestem wielkim fanem kluczy USB - zdecydowanie wygodniejsze,
niż przepisywanie kodów z tokena. Zwłaszcza w urządzeniach mobilnych.
Wkładam, wisi cały czas w porcie, mruga kiedy trzeba nacisnąć... i już :)

> Btw, rebacze.pl to Twój nowy projekt?

Tak. Jeszcze nie wiem, na ile długotrwały, bo jednocześnie dzieją się
w tle rzeczy które mogą mnie od niego odciągnąć - ale wszystko się wyjaśni
w ciągu 2-3 tygodni.

Ł.

Lukasz Jachowicz

unread,

Jan 18, 2019, 3:16:29 AM1/18/19

to

On 2019-01-15, John Doe <jo...@doe.com> wrote:
>
> Obszerniej: https://www.martinvigo.com/voicemailcracker/

Da, na dole tekstu dałem link do tego, do prezentacji i do kodu
źródłowego uproszczonej wersji voicemail automatora.

Ł.

Queequeg

unread,

Jan 18, 2019, 3:44:46 AM1/18/19

to

Lukasz Jachowicz <ho...@nospam.7thguard.net> wrote:

> Ja z kolei jestem wielkim fanem kluczy USB - zdecydowanie wygodniejsze,
> niż przepisywanie kodów z tokena. Zwłaszcza w urządzeniach mobilnych.
> Wkładam, wisi cały czas w porcie, mruga kiedy trzeba nacisnąć... i już :)

Ale to kolejna rzecz, o której trzeba pamiętać, przychodząc / wychodząc do
/ z pracy. Token z kodem zawsze mam przy sobie, przy kluczach, a taki
trzeba wyciągać, podłączać, odłączać... przypadkiem zostawić... a jeśli
mowa o urządzeniu mobilnym, to dodatkowo nosić przejściówkę na OTG...

Inna sprawa, że nigdy takiego nie miałem. Po prostu sobie nie wyobrażam :)

>> Btw, rebacze.pl to Twój nowy projekt?
> Tak. Jeszcze nie wiem, na ile długotrwały, bo jednocześnie dzieją się
> w tle rzeczy które mogą mnie od niego odciągnąć - ale wszystko się wyjaśni
> w ciągu 2-3 tygodni.

Trzymam kciuki zatem.

apcoh.org widzę jeszcze wisi, choć od lat jceelowe IPki niedostępne :)

--
https://www.youtube.com/watch?v=9lSzL1DqQn0

Lukasz Jachowicz

unread,

Jan 18, 2019, 6:17:58 AM1/18/19

to

On 2019-01-18, Queequeg <quee...@trust.no1> wrote:
> Lukasz Jachowicz <ho...@nospam.7thguard.net> wrote:

[token usb]

> Ale to kolejna rzecz, o której trzeba pamiętać, przychodząc / wychodząc do
> / z pracy. Token z kodem zawsze mam przy sobie, przy kluczach, a taki
> trzeba wyciągać, podłączać, odłączać... przypadkiem zostawić... a jeśli
> mowa o urządzeniu mobilnym, to dodatkowo nosić przejściówkę na OTG...
>
> Inna sprawa, że nigdy takiego nie miałem. Po prostu sobie nie wyobrażam :)

Token też musisz przy sobie nosić, a jest większy. Klucze USB - nie musisz
(ba, nawet nie powinieneś) mieć tylko jednego, więc nie ma problemu
z noszeniem awaryjnego przy kluczach.

U mnie jest wpięty do portu USB w monitorze, ma przypiętą wielką zawieszkę
"remove before flight", nie da się przegapić :-) Ale fakt, że korzystam
głównie ze swoich komputerów w stałych lokalizacjach, nie wiem, czy byłbym
równie pamiętający, gdybym codziennie rano zasuwał do biura.

Ł.

Queequeg

unread,

Jan 18, 2019, 6:50:21 AM1/18/19

to

Lukasz Jachowicz <ho...@nospam.7thguard.net> wrote:

>> Inna sprawa, że nigdy takiego nie miałem. Po prostu sobie nie wyobrażam :)
>
> Token też musisz przy sobie nosić, a jest większy. Klucze USB - nie musisz
> (ba, nawet nie powinieneś) mieć tylko jednego, więc nie ma problemu
> z noszeniem awaryjnego przy kluczach.

W sumie też pytanie, ile razy dziennie przeprowadzasz 2FA. Jak
kilkanaście, to faktycznie przepisywanie kodu może być upierdliwe. Ja
raczej zapamiętuję sesje w przeglądarkach.

> U mnie jest wpięty do portu USB w monitorze, ma przypiętą wielką zawieszkę
> "remove before flight", nie da się przegapić :-)

Aż się opatrzy ;)

> Ale fakt, że korzystam głównie ze swoich komputerów w stałych
> lokalizacjach, nie wiem, czy byłbym równie pamiętający, gdybym
> codziennie rano zasuwał do biura.

Też korzystam ze swoich -- i w domu i w biurze. Nie logowałbym się nigdzie
na nieswoim.

Technicznie komputer w firmie nie jest mój, ale oswoiłem go przerzucając
korporacyjnego Windowsa z całym korporacyjnym, szpiegującym syfem do
wirtualki i instalując swojego Linuksa. Póki co nikt się jeszcze nie
doczepił (a mogą, bo bitlocker nie działa, bo VirtualBox nie wirtualizuje
TPM-a). Może to kwestia czasu.

--
https://www.youtube.com/watch?v=9lSzL1DqQn0