[ nenadovic85 @ 22.12.2021. 11:49 ] @
Nije vezano samo za Linux već za sve Open Source projekte. Mnogo rada, truda, pameti, vremena, odricanja treba da se napravi neki program i na kraju ponudiš ga džabe? Kako bre? To finansiranje od donacija mi ne pije vodu. Da li takvi programi koji su open source imaju neku začkoljicu, na primer, pametnije, više i bolje prikupljaju podatke od korisnika i te podatke prodaju posle nekim firmama, microsoftu, googlu itd... Mislim i ja sam do nekel bio programer, šta mi vredi što je projekat Open Source, opet ništa ne razumem a zamislite tek prosečne 'glupe' - 'obične' korisnike...

Znači po meni, instaliraš Linux, bilo koji i oni ti pokupe sve podatke, vrlo moguće... Eto, nekad sam voleo Linux ali sve više sumnjam u njihovo 'poštenje'...

Što naš narod kaže - Ne platiš na mostu, platiš na ćupriji...
[ Sava @ 22.12.2021. 15:00 ] @
A što se ti brineš o Linuxa kada koristiš Windows !?
Šalim se. Verovatno je svako od nas koji koristi ili je koristio Linux pomislio isto. Doduše nisu sve distribucije besplatne.
Sa druge strane nemam tajnih podataka na računaru pa se ne brinem, a sve druge podatke o meni već su prikupili ili kroz Windows ili kroz upitnike za ovo ili ono.
[ calexx @ 22.12.2021. 15:13 ] @
Možda se ti i mi ne razumemo ali postoje oni koji znaju pa bi prijavili krađe podataka. Valjda je i Ubuntu jednom bio u toj priči i ne znam da li su izašli. Više bi trebalo da te zabrine to što se Windows plaća a ipak je olako pušteno da ga praktično svi koriste bez problema Tu će pre da bude opasno.
[ riskantni @ 22.12.2021. 23:12 ] @
Cao,

Programer nisam, a Bogu hvala, pa sam na vreme shvatio da mi programiranje bash i ne ide ...ali eto izneo bih stav u vezi sa temom.

Retki su oni koji rade projekte na kojima nemaju ama bash nikakve koristi, ali ima i toga. Studenti recimo na taj nacin mozda daju ispite, juniori se dokazuju u firmama, na kraju krajeva za svaki projekat te vezuje referenca. U kasnijoj karijeri to moze puno znaciti.
Provlacenje reklama kroz softver je jedan od nacina za zaradu. Sada postoji vise "modela" zarade.... ne bih da lupetam.
Uvek sam se pitao kako su oni Slovenci nagruvali 1 milijardu zelembaca, a poceli su sa Talking Tom aplikacijom.... jbg. Znaju znanje.

Privatnost nije problem, privatnosti nema...i to poodavno....sve se meri, secka i uporedjuje. Budi siguran u to. Alternativa tome bas i nema mnogo, tako da "skromno" paziti na ponasanje i sve OK.


Generalno, nas mentalitet, uslovi odrastanja, obrazovanje itd. su umnogome razliciti od onih na zapadu, tj. onih koji "hendluju" razvoj IT sektora.
Zasto sam to naveo...

Na primer, postoje sajtovi za podrsku startup projektima... svako iznese ideju i procenu koliko mu novaca treba, nije bitno da li otvaras poslasticarnicu, frizerski salon ili "programersku kucu".... mnogo ljudi je spremno da svojim skromnim doprinosom doniraju par dolara.... eto ti jedan pozitivan primer kako "svesni pojedinci" umeju da podrze razvoj privrede, drustva itd.....

Jedno je sigurno, pre zapocinjanja projekta treba dobro razmisliti o benefitima.

[ Riblja corba @ 23.12.2021. 00:38 ] @
Pogrešno je shvatanje da nešto što je Open Source ("otvorenog kOda") je obavezno i besplatno.

Velike projekte u Open Source zajednici vrlo često finansiraju kompanije koje od toga imaju koristi.
Kako?
KOd koji im treba, pozajme i prerade za svoje potrebe. Čist primer je Linux Kernel koji je sastavni deo i Guglovog Androida
a koji koriste svi veći porizvođači pametnih telefona (Samsung, Huawei, Nokia, ...)

Takođe imate razne Fondacije koje podržavaju OS projekte. Primer na linku.
https://www.linuxfoundation.org/projects/

Imate i primer Linux Minta, koji na mesečnom nivou objavljuje donacije korisnika i sponzora.
11.700$ samo u oktobru mesecu, malo li je?
https://blog.linuxmint.com/?p=4198

*promenite naziv teme ili forum
[ B3R1 @ 23.12.2021. 10:49 ] @
Richard Stallman je o tome sve rekao vise puta, a on je mnogo veci autoritet od svih nas kada je u pitanju open source:



Ovome se nema sta dodati ili oduzeti.
[ Djetvan @ 24.12.2021. 17:28 ] @
Citat:
nenadovic85:
Znači po meni, instaliraš Linux, bilo koji i oni ti pokupe sve podatke, vrlo moguće... Eto, nekad sam voleo Linux ali sve više sumnjam u njihovo 'poštenje'...

Možda su do sličnog zaključka došli i administratori Ubuntu foruma rs pa ga brže bolje ugasili.
[ svepomalo @ 24.12.2021. 17:42 ] @
Citat:
Djetvan
Možda su do sličnog zaključka došli i administratori Ubuntu foruma rs pa ga brže bolje ugasili.


Zna li se konkretan razlog gasenja?
[ Space Beer @ 25.12.2021. 08:07 ] @
Otvoren i slobodan kod je upravo to - otvoren i slobodan. Svako, pa i ti, može da se uveri da li je maliciozan. I svaki veći projekat je neko pročešljao, za manje nije tako često. S druge strane, manji projekti koji nisu mnogo popularni i iza kojih uglavnom stoji pojedinac će teško biti opasni, baš zato što ih (skoro) niko ne koristi i nema niko interes da u njih upakuje nešto loše. A vrlo lako se otkrije kada nešto nije u redu.

A to zašto ljudi troše svoje vreme i/ili novac da bi pomogli drugima, to je izvan FOSS sveta. Ako ti misliš da niko neće uraditi nešto dobro za druge a da nema nikakvu korist od toga, onda je problem do tebe ;)

Citat:
Riblja corba:
Imate i primer Linux Minta, koji na mesečnom nivou objavljuje donacije korisnika i sponzora.
11.700$ samo u oktobru mesecu, malo li je?
https://blog.linuxmint.com/?p=4198

Malo je. Napravili su sistem/okruženje koje je daleko smislenije od većine postojećih, uključujući i nesrećni Win 11 koji ima neograničen budžet. Sudeći po kvalitetu sistema, zaslužili su bar još jednu nulu na taj broj, Verovatno i više. Mada ja verujem da oni (a i ostali) prave sistem / softver koji njima treba, a to što istovremeno odgovara i drugima, to je samo plus. Svakako je bolje od rešenja koje mi nude MS, Apple, Google ...koja su pravljena tako da nude ono što oni misle da mi treba, a što ima upotrebnu vrednost k'o kerov kulen. A meni Mint zapravo nije ni najbolji (linux) OS ;)

Citat:
riskantni:
Privatnost nije problem, privatnosti nema...i to poodavno....sve se meri, secka i uporedjuje. Budi siguran u to. Alternativa tome bas i nema mnogo, tako da "skromno" paziti na ponasanje i sve OK.

Naravno da nije tako. Alternativa ima za (skoro) sve, samo je pitanje koliko te mrzi da brineš o svojim podacima ;)


[Ovu poruku je menjao Space Beer dana 25.12.2021. u 09:19 GMT+1]

[Ovu poruku je menjao Space Beer dana 25.12.2021. u 09:19 GMT+1]
[ Nedeljko @ 25.12.2021. 17:46 ] @
Ako je open source, onda se zna šta ima unutra i da li prikuplja neke podatke ili radi nešto drugo neželjeno.

Što se finansiranja tiče, evo kako stoje stvari sa LibreOffice paketom

https://www.documentfoundation.org/foundation/financials/

Naravno da rade za kintu. E, sad, postoje razni načini komercijalizacije. Evo, uporedio bih Qt Company i Embarcadero. Prva posluje po 100% open source modelu. Qt je dvostruko licenciran. Sve je pokriveno GPLv3 licencom, koja je open source. To što ne omogućava proizvodnju vlasničkog softvera ne menja činjenicu da GPLv3 jeste 100% open source licenca. Embarcadero proizvodi 100% zatvoren softver.

Qt Company sa 348 zaposlenih ima annual revenue 79,5 miliona evra, dok Embarcadero sa oko 300 zaposlenih ima annual revenue 43.4 miliona evra. Dakle, po open source modelu Qt zarađuje 228400 evra godišnje po zaposlenom, a Embarcadero 145000 evra godišnje po zaposlenom. Proizvodi su slične namene. +57% po zaposlenom u korist open source modela.

Što se odašiljanja osetljivih podataka tiče, to je deo posmortem debugginga, kada pukne program, pa te pitaju da li želiš da pomogneš razvijaocima da ga unaprede. Ako se složiš, šalješ deo memorije koji je koristio taj program, a kakvi se tu podaci nalaze zavisi od namene programa i toga šta je u sesiji koja je pukla rađeno.
[ lega99 @ 12.01.2022. 19:20 ] @
Nista to ne znaci sto je open source, koliko samo koda ima u svakom programu, mislis da je neko sposoban da isproverava sve zivo. Samo update kad stigne dovoljno je da neko treba godinama da proverava source. Plus gotovi delovi koji se uvlace sa include, bas korisnik zna sta je u tom include. Prvo da nadjes nesto ubijes se ko siroce a plus source koliko znam isporucuje se kad to setujes. Koliko se secam iz pisanija ima rupa koje nikad nisu zakrpljene i stoje tako godinama. Distribucije taman se neko okruzenje stabilizuje kad odjednom krece se od nule, zasto...
[ Impaler @ 13.01.2022. 15:05 ] @
Open source ne znaci da nema bug-ova
Ne znaci ni da je kvalitetniji kod.

Moguce je i da ima prikrivenog backdoora.

I mozda kradu podatke.
Sve je to moguce.


Dok za vecinu zatvorenog koda znas SIGURNO da prikupljaju podatke i od toga žive. Otvoreno ti kazu ljudi mi zivimo od vasih podataka i oglasavanja. Nije tajna.



[ lega99 @ 13.01.2022. 20:17 ] @
Citat:
Impaler: Open source ne znaci da nema bug-ova
Ne znaci ni da je kvalitetniji kod.

Moguce je i da ima prikrivenog backdoora.

I mozda kradu podatke.
Sve je to moguce.


Dok za vecinu zatvorenog koda znas SIGURNO da prikupljaju podatke i od toga žive. Otvoreno ti kazu ljudi mi zivimo od vasih podataka i oglasavanja. Nije tajna.


Kad sam napomenu rupe nisam mislio na neke bezazlene nego na katastrofalne o kojima se cuti. Linux i open source sve mi lici kao bacanje prasine u oci da bi se masa palila to je dzabaka oni su posteni,
ne zivi se od vazduha i tamo nekih donacija. Donacije daju upravo kompanije koje zaradjuju na softweru kojeg prodaju. Mi smo pokusni kunici, alfa testeri necega sto se posle zapakuje u binarni kod i prodaje.
Evo neobjasnjivog primera Arch distribucije, namerno sam stavio 3 Arch na masinu sa identicnim programima, uradim update svakoga jedan za drugim, svaka instalacija povuce donekle razliciti update, evo juce uvece imao sam
u svakom Archu razliciti kernel, jedna je povukao 5.16 drugi i treci 5.15 ali razlicite. Nerazumne odluke developera kao kod plazme to je za mene neobjasnjivo i van pameti, file manager koji posle toliko godina forsiranja
sad nema root mod, ukidanje nekog programa od kojeg zavise widgeti i forsiranje widgeta koji lice na to da su ih pravila mala deca. Kod zatvorenog koda barem ti kazu mi te spijuniramo, skupljamo podatke i prodajemo.
Neko spomenu linux i mobilnu telefniju, pa tu se tek trguje sa prikupljenim licnim podacima, pricaj o nekoj bolesti a mobilni nek ti bude pored tebe, uradi to par dana, posle toga ima da ti stizu reklame za neke nadrilekare
i "spasonosne" lekove kojih eto nema u apoteci ("bezobrazna farmceutska mafija") pa ti sad ovi preko mobilnog nude "lek" koji kosta boli glava.
[ Impaler @ 13.01.2022. 20:37 ] @
Stvarno moze bit. Pogotovo ako si "u trendu" i moras imati zadnji updejt. Onda ti oni mogu doslovno onemogucit stroj kako im se nađe.
Ja nikad ne radim apt get upgrade, "ako nije pokvareno ne popravljaj."
Imam offline kopiju cijelog debian repozitorija s kojeg instaliram programe po potrebi. Dođe manje od 100 GB. I ta mashina je offline.



Sto se tice mobilnih telefona i linuxa, dzabe je to sto je open source linux kad je platforma zatvorena, osim ako nisi probio baseband bootloader, nema ni govora da ti kontroliras taj uređaj.

[Ovu poruku je menjao Impaler dana 13.01.2022. u 22:04 GMT+1]
[ lega99 @ 13.01.2022. 22:23 ] @
Update ti se nudi sam, Arch je RR distro i ako ne radis update posle nekog vremena prolupa poras da radis ponovnu instalaciju a ja to mrzim to je nekad bilo u win ali sad win 10 samo restore point i gotovo.
Sa mobilnim se ne "igram", jedva sam kupio ovaj, bio sam rizikovao pa probao neki od programa za cackanje ali srecom nije hteo na mom kinezu da radi. Na starom lenovu je radio, obrisao sam skoro sve od google da
bi zena mogla da aka njen facebook lite dan i noc.
[ Impaler @ 13.01.2022. 22:43 ] @
Čitam o Rolling release distro, i nevjerujem.

"The rolling release also comes at the cost of testing. You may have surprises when the latest update starts creating problem for your system."


."However, this could also bring unforeseen problems with the new software. Point release usually test essential components for system integration to avoid inconvenient bugs. This is not the case in rolling release distribution, as the software is rolled out as soon it is released by their developers."

Da, u takvom sistemu korisnik je beta tester.



[Ovu poruku je menjao Impaler dana 13.01.2022. u 23:57 GMT+1]
[ lega99 @ 13.01.2022. 23:05 ] @
Pa mozda je tako ali svi hvale Arch a ako nesto nije ok imas downgrade komadu i ocas vratis verziju programa, ako nesto nije ok ima ogromnu podrsku maltene u istom danu se nesto ispravi ako ne radi. Dok sam terao nazovi stabilne distribucije uvek problemi sad sam miran. Odosmo sa teme o spijuniranju i prodaji licnih podataka.
[ lega99 @ 13.01.2022. 23:10 ] @
@B3R1,

Gledao sam i prevodio na cirilicu kultni film o linuxu gde govori Stalman i ostali i Bili. Tamo je izrecena naiva da ne trebaju passwordi, Stalmanu su ukrali njegov racunar, pusti tu religiju.
[ Impaler @ 16.01.2022. 14:18 ] @
Sto ce nam passwordi.

Stallman je kada se uveli passwordi na MIT cs lab probio sustav i svima predlozio da zamijene pasword sa enter.

Mislim da to nema veze sto su mu ukrali racunalo.


When MIT's Laboratory for Computer Science (LCS) installed a password control system in 1977, Stallman cracked the password system to reset passwords to null strings and sent users messages informing them of the removal of the password system. Although Stallman boasted of the success of his campaign for many years afterward, passwords ultimately triumphed.


When Richard Stallman first arrived at the MIT Artificial Intelligence Lab there were no officially sanctioned users of the equipment, no passwords, no security, no special privileges. Stallman liked it that way. But the retrenchment that was the 70s hit the MIT lab a few years after Stallman’s arrival. Passwords were assigned to Officially Sanctioned Users. So Stallman broke the computer’s encryption code and was able to get to the protected file that held people’s passwords. Stallman started sending people messages which would appear on the screen when they logged onto the system: “I see your password is (such and such). I suggest that you switch to the password ‘carriage return.’ It’s much easier to type, and also it stands up to the principle that there should be no passwords.”



[ mrki666 @ 16.01.2022. 14:48 ] @
Postoji jedna fora kod na primer wirelessa. Kad kucaš u Linuxu, lozinku mreže, polje automatski "pozeleni" kad uneseš ispravnu lozinku. Ne treba ti enter. Što znači, da sistem real-time proverava ispravnost lozinke. Na taj način, može se lako ukapirati da samo treba da napraviš key-generator i da "očas posla" pogodiš lozinku. E sad, kako se taj hak program pravi, ne znam. Zato sad i prave novi vid verifikacije, koliko sam čuo, WPA3 valjda..
[ Impaler @ 16.01.2022. 15:00 ] @
Ako je na lokalnoj mashini, vjerojatno je pass negdje u memoriji, samo dump memorije i parse.

Wpa3 bi kao trebao zastitit mrezu izvana.



[ B3R1 @ 16.01.2022. 15:23 ] @
Citat:
Impaler: When Richard Stallman first arrived at the MIT Artificial Intelligence Lab there were no officially sanctioned users of the equipment, no passwords, no security, no special privileges.

Tu pricu treba posmatrati iz ugla vremena u kome se desavala.

Pre 40-50 godina univerziteti su imali mainframes i midi-computers - razne IBM, PDP, VAX ... i tu su studentima otvarani nalozi za potrebe prakticnog rada koji nisu imali nikakvu zastitu. Te sisteme nisu administrirali nikakvi profesionalci, vec profesori i njihovi asistenti (doktoranti koji su radili kao TA ili RA). Radili su taj posao najbolje sto su mogli. Medjutim, medju studentarijom uvek imas one koji studije shvataju ozbiljno i zele nesto da nauce ... i one druge (mahom decu bogatih tatica) kojima je cilj teme da im prodje vreme (a i zivot, jer ce ionako nasledititi tatine pare, a diploma im je samo ukras na zidu). Ti drugi su pravili razne detinjaste fazone, brljali po necijim domacim zadacima iz obesti itd. Tako se i pojavila potreba za dodatnom zastitom.

Stallmanov detinjasti um je u to vreme doziveo taj potez univerziteta kao neku vrstu napada na slobodu ... a zapravo on je tada bio deriste kome je neko rekao NE, pa je poceo da vristi.

Srecom, uspeo je da svoj buntovnicki duh i detinjasti karakter kanalise u pozitivnom smeru, pocne da radi nesto u inat drustvu i stvori totalno novi koncept u industriji softvera.
[ Impaler @ 16.01.2022. 15:45 ] @
Da. Vjerojatno.
[ lega99 @ 16.01.2022. 20:43 ] @
Citat:
mrki666: Postoji jedna fora kod na primer wirelessa. Kad kucaš u Linuxu, lozinku mreže, polje automatski "pozeleni" kad uneseš ispravnu lozinku. Ne treba ti enter. Što znači, da sistem real-time proverava ispravnost lozinke. Na taj način, može se lako ukapirati da samo treba da napraviš key-generator i da "očas posla" pogodiš lozinku. E sad, kako se taj hak program pravi, ne znam. Zato sad i prave novi vid verifikacije, koliko sam čuo, WPA3 valjda..


Nije mi jasno zasto da kuca lozinku, u svakom linuxu imas network manager i jednom ukucas lozinku za wi-fi i zavrseno, posle samo biras da li ces konekciju preko lan kabla ili wi-fi (svoj ili komsiski). To da ces wi-fi da provalis tek tako malo sutra, postji fora busnih rutera sa aktivnim wps ali zaboravi na to, svi su to potkrpili pa cak i nasi provajderi. Da bi razbio wi-fi pass prvo moras da savatas komunkaciju i onda ti treba hascat program (pravi ga MIT) recnici i mocna masina kao one za rudarenje i to ti opet ne garantuje da ces razbiti pass jer postoje mala i velika slova, brojevi i specijalni znaci koji mogu biti deo passworda, plus pass nije ogranicen na 8 znakova. Plus svaki ruter je namesten da zakljuca komunikaciju na 1 ili vise pogresnih pokusaja. Sad vec wpa2 podrzava proveru passworda preko teceg servera itd. Mani se hakerisanja to rade mocne kompanije ili drzave. Zaneo si se sa M$ PIN passwordom za logovanje koji je numericki 8 numerika koji moze da se izgenerise ali ako sistem prihvata toliko pogresnih pokusaja, koliko se secam meni se desava da omanem pass na win 10 i posle par dana M$ salje e-mail da promenim pass, drugo ne putuje pass nego negov hash i m$ pamti sve tvoje passworde i ako menjas pass i stavis neki koji si kristio dobijes poruku da je pass cec koriscen i da ne moze da se prihvati. Po Vax masinama nisi moga da brljas tek tako...
[ Impaler @ 16.01.2022. 21:12 ] @
Wifi sa ovim standardnim kriptiranjem nije tesko probit.
Ako ne uspije provalit kljuc sa hashcatom, uspjet ce man in the middle


Ne moras biti posebno pametan, postoje gotovi alati. Ako znas skuhat rucak uz pomoc recepta znas i probit wifi.




[Ovu poruku je menjao Impaler dana 16.01.2022. u 23:41 GMT+1]
[ lega99 @ 16.01.2022. 23:08 ] @
Opa haker, hachcat malo sutra, objasnio sam, moj prijatelj je cak slao na neki sajt koji navodno rastura passove i rezultat je q*rac, man in the middle znam da su neki su pokusavali i corak. Koja jacina signala na anteni treba da bi se postavio izmedju, probaj u nekoj zgradi gde su zidovi od armiranog betona. Sve sto imas u Kali to je bajato, ko je lud da nesto novo pusti, cuvaju za sebe. Skoro sam gledao dokumetarac na TV, Ameri su dali prog Izraelcima, ovi ga pustili pa shebali i neke banke po svetu a i kod Amera i Iranske centrifuge za obocivanje uranijuma. Koliko sam procito na netu evo moja drzava kupila softwer od Izraelaca za prisuskivanje mobilne telefonije. Ne bavim se tim imam optiku i kumov wi-fi za rezervu ako rikne moj provajder, vidim dobro si upucen u tu tematiku.
[ lega99 @ 16.01.2022. 23:37 ] @
@Impaler,

Evo ti moj .cap fajl pa kad tvrdis da si toliko vest provali pass i slobodno napisi ovde.
[ Impaler @ 17.01.2022. 08:19 ] @
Hashcat probija samo passworde do 9 znakova, vec sa 10 ima problema, osim ako pass nije u rječniku tipa rockyou.

[ lega99 @ 17.01.2022. 09:17 ] @
Citat:
Impaler: Hashcat probija samo passworde do 9 znakova, vec sa 10 ima problema, osim ako pass nije u rječniku tipa rockyou.

Sasvim logicno i to ako je pass sastavljen samo od brojeva, zamisli koliko je to kobinacija od samo duzine 10 i samo kombinacija brojeva, samo domacice i paceri stavljaju
brojeve to je ono u primerima kad pisu o toj temi stavljau broj telefona ili datum,mesec i godinu rodjenja. Sad skoro najobicniji sajtovi gde treba logovanje zahtevaju barem
jedno veliko slovo, mala slova, specijalne znake barem jedan i brojeve barem dva.
U pricama sve leopo zvuci.... :)
[ Impaler @ 17.01.2022. 10:50 ] @
Citat:
lega99:
. Koliko sam procito na netu evo moja drzava kupila softwer od Izraelaca za prisuskivanje mobilne telefonije.


Sto ce vam to? Jasno je da telekom vidi sve poruke i razgovore,
mozda su kupili onaj Cellebrite ili nesto slicno, sto otkljucava mobitele i radi forenziku,
Namijenjeno vladama svijeta, osim kad se nezna tko vlada kao u Mexicu, pa alat dobije mafija.

[ lega99 @ 17.01.2022. 11:43 ] @
Citat:
Impaler: Sto ce vam to? Jasno je da telekom vidi sve poruke i razgovore,
mozda su kupili onaj Cellebrite ili nesto slicno, sto otkljucava mobitele i radi forenziku,
Namijenjeno vladama svijeta, osim kad se nezna tko vlada kao u Mexicu, pa alat dobije mafija.


Meni ne treba i nije vise za kometarisanje, procitao na netu, istina ili laz ko zna, svasta se plasira kao vest...
[ lega99 @ 17.01.2022. 12:14 ] @
Evo na wiki ima lepo objasnjenje i po meni to samo funkcionise u naseljima sa drvenjarama kakve ameri grade. Pogledaj sliku i objasnjenje
Code:
https://en.wikipedia.org/wiki/Man-in-the-middle_attack

Realna situacija zgrade od armiranog betona i celika, mnogo jaka treba da bude oprema da to radis a to poseduju samo vladine firme

[ Impaler @ 17.01.2022. 12:30 ] @
To ovako izgleda:





Man-in-the-middle attacks

A man-in-the-middle attacker entices computers to log into a computer which is set up as a soft AP (Access Point). Once this is done, the hacker connects to a real access point through another wireless card offering a steady flow of traffic through the transparent hacking computer to the real network. The hacker can then sniff the traffic. One type of man-in-the-middle attack relies on security faults in challenge and handshake protocols to execute a “de-authentication attack”. This attack forces AP-connected computers to drop their connections and reconnect with the hacker's soft AP (disconnects the user from the modem so they have to connect again using their password which one can extract from the recording of the event). Man-in-the-middle attacks are enhanced by software such as LANjack and AirJack which automate multiple steps of the process, meaning what once required some skill can now be done by script kiddies. Hotspots are particularly vulnerable to any attack since there is little to no security on these networks.


[Ovu poruku je menjao Impaler dana 17.01.2022. u 14:06 GMT+1]

[Ovu poruku je menjao Impaler dana 17.01.2022. u 15:40 GMT+1]
[ lega99 @ 17.01.2022. 15:22 ] @
Upravo ono sto sam i mislio. Klasika kod mene i gro ljudi koji imaju net je kabl ili optika, ruter, na ruter se kace wi-fi mobilni ili laptopovi. Ovo sto ti pises to je redje, cak i moj drugar u zabiti 5 kuca na Zlatiboru ima kabl a pre toga je isao tako preko acces pointa bezicna wi-fi konekcija koja je skupa boli glava. a kombinacija koju opisujes pije vodu ako se namestis blizu ili dodjes kod coveka u kucu. U zgradama ne znam nikod da ima takvu konekciju, uvek je do rutera zica ili optika, od rutera po kuci lan kabla a ko hoce wi-fi za laptop; sad da bi tu neko uleteo tesko jer sve sa wi-fi ide na ruter a sa rutera dalje zicno ili optika. Znaci trebao bi da probije Faradejev kavez od armirano betonskih zidova i da nadjaca signal rutera da bi laptop koji je okacen wi-fi prevario i okacio se na njega kao acces point rj. ruter i plus da prevari ruter. Malo pametniji ruteri imaju tabelu sa MAC adresam koju definises ko sme da se kaci na ruter. Eto dosta sam teoretisao, imas moj .cap file cisto me zanima dal imas neku jacu masinu sa Ryzen procesorima, oni najaci pa da razbijes taj moj pass ili masinu sa 4-5 grafickih pa da preko njih razbijes pass.
[ Impaler @ 17.01.2022. 17:08 ] @
1. To mozda nije tvoj hash.
2. Ja mogu probit do 9 znakova duljine
3. Da bas moram, iznajmio bi cloud sa potrebnom snagom.
[ mrki666 @ 17.01.2022. 17:10 ] @
Deco, nemoj da ste naivni. wpa pasword se razbija vrlo lako. Treba ti generator reči i to je sve. E sad, zavisi i od toga koliko je složena lozinka. Ali, ove ljude koje ja znam, na primer od 50, 48 ima lozinku proste reči i brojevi do 7-8 karaktera. To se razbija za 20 minuta.
[ B3R1 @ 17.01.2022. 17:58 ] @
Citat:
lega99:
Citat:
Impaler: Hashcat probija samo passworde do 9 znakova, vec sa 10 ima problema, osim ako pass nije u rječniku tipa rockyou.

Sasvim logicno i to ako je pass sastavljen samo od brojeva, zamisli koliko je to kobinacija od samo duzine 10 i samo kombinacija brojeva, samo domacice i paceri stavljaju
brojeve to je ono u primerima kad pisu o toj temi stavljau broj telefona ili datum,mesec i godinu rodjenja. Sad skoro najobicniji sajtovi gde treba logovanje zahtevaju barem
jedno veliko slovo, mala slova, specijalne znake barem jedan i brojeve barem dva.

Maltretiraju ljude ... oni ce to opet strpati u neki fajl, fajl ce strpati na neki cloud, onda ce za folder gde se fajl nalazi jednog dana kliknuti nesvesno "share" dugmence ... Ili ce, poput nasih penzionera, napisati to negde onako krupnim slovima. Uobicajena slika iz srpskih radnji: penzos pruza platnu karticu kasirki, na kartici krupno flomasterom napisan pin kod, onako da ga svi vide. Kasirka unosi pin kod ... :-))) A ima i jos gore - kada kasirka glasno pita: "A koji ti je pin kod, deda?" (boldovane reci odrazavaju vaspitanje doticnih kasirusa ... i on isto tako glasno, jer slabije cuje, odgovara: 1234.

Onda dodje neko ko bas nece da joj da pin kod, zahteva da ga sam unese, a ona odbrusi: "A ne moze to, kratak mi kabl, imas li gotovinu?". Da, da, kratak joj ... kabl ...

Jeste off-topic, ali nisam mogao da odolim ... :-))))))
[ B3R1 @ 17.01.2022. 18:13 ] @
Citat:
mrki666:
Deco, nemoj da ste naivni. wpa pasword se razbija vrlo lako. Treba ti generator reči i to je sve. E sad, zavisi i od toga koliko je složena lozinka. Ali, ove ljude koje ja znam, na primer od 50, 48 ima lozinku proste reči i brojevi do 7-8 karaktera. To se razbija za 20 minuta.

Reci iz recnika, kao i njihove razne kombinacije (obrnuta rec, rec+obrnuta, rec + cifra, rec + 2 cifre itd.) uspesno je razbijao i Unix crack (https://en.wikipedia.org/wiki/Crack_(password_software)), cija je prva verzija nastala jos pre 30 godina, u vreme kada su encrypted hashevi jos uvek bili otvoreno citljivi u /etc/passwd ... i kada su Unix sistemi koristili klasican DES, koji je davao 11-bajtni hash (kome se dodavao "salt" od 2 bajta ispred). Kasnije je to "skriveno" u shadow, pojavio se i MD5, danas AES i jos kojesta ... ali tehnika je ostala ista - program uzme recnik, kriptuje rec po rec i poredi hash ...

S tadasnjim kilavim procesorima (tada na nivou 486 ili P1) crack je razbijao takve lozinke ocas posla ... mozete misliti danas, sa savremenim CPU ... plus, sto postoje mnogo mocniji programi za to od crack-a ...

Hashcat radi na identicnom principu, samo se ocitavanje encrypted hash-a razlikuje, zahteva razmenu sa AP ... ali princip je isti.
[ Impaler @ 17.01.2022. 18:16 ] @
Samo da ispravim nesto:

Man in the middle kao sto je gore opisan ne moze probijati passphrase.
mitm napad gore opisan sluzi kad je passphrase vec poznat ili je AP otvoren.

Takav napad sluzi da se "sniffa" promet i sifre u plain tekstu.

Ono sto mogu napadaci napravit je kod captive portal apova dignuti svoj AP i tako phishingom ukrasti acc. To se zove Twin Ap.

A mogu i dignuti twin AP, ponekad se klijenti sami spoje.

Postoji i KARMA napad gdje napadac vidi gdje se klijent spajao pa digne twin ap, ponekad se klijenti onda sami spoje.

Toliko.

Rogue AP je kad netko u firmi spoji svoj wifi, a drugi napadac s parkinga brlja po mrezi.
[ lega99 @ 17.01.2022. 19:19 ] @
mrki666:
do 7-8 karaktera.

Mrzi me vise da pisem ne moze 7-8 nego je za wpa minimum 8 duzina.

@B3R1,
Evo ostavio sam .cap fajl, molim te razbi ga kad se to tako ocas radi
To za pin to sam video zilion puta, ludilo., sad im i to ne treba, do neke cifre samo prisloni karticu, sad ce da bude problem kad zaborave karticu pa neko lepo nadje i krene po radnjama i kupuje, ne treba mu pin do odredjenog iznosa, taman lepo odes u jedan market, odes u drugi, ode u treci i nakupujes sta ti treba za mesec dana. Nece to neko greskom share nego namerno, neko mu plati, informacije su roba a pogotovo ovakva informacija, ne mogu da poverujem da neko razvali mocnim kompanijama bazu passova i licnih podataka tek tako a to su kompanije iz komjuterske oblasti.
[ B3R1 @ 17.01.2022. 20:36 ] @
Citat:
lega99mrki666:
Evo ostavio sam .cap fajl, molim te razbi ga kad se to tako ocas radi

Mrzi me sada, ali ako je rec iz recnika ili rec+cifra pogodice je bez problema. Naravno, kombinacija tipa 5%7,u@Ac.!x ne moze da se razbije bas tako lako, to moze samo brute-force razbijanjem, a to je eksponencijalni algoritam ...
Citat:
To za pin to sam video zilion puta, ludilo., sad im i to ne treba, do neke cifre samo prisloni karticu,, sad ce da bude problem kad zaborave karticu pa neko lepo nadje i krene po radnjama i kupuje, ne treba mu pin do odredjenog iznosa, taman lepo odes u jedan market, odes u drugi, ode u treci i nakupujes sta ti treba za mesec dana.

Ne ide to bas tako lako. Nakon svakih 5 uzastopnih beskontaktnih transakcija na 6. mestu ce ti traziti pin. Proverio na svojoj kartici mnogo puta. :-) Doduse, to varira od banke do banke. U nekim bankama mozes sam da podesavas te limite.
Citat:
​Nece to neko greskom share nego namerno, neko mu plati, informacije su roba a pogotovo ovakva informacija, ne mogu da poverujem da neko razvali mocnim kompanijama bazu passova i licnih podataka tek tako a to su kompanije iz komjuterske oblasti.

Moze centrala jednom da pogresi ... :-))) Inace, imas prevelike iluzije vezane a IT kompanije. I tamo rade obicni ljudi od krvi i mesa, cesto sasvim prosecni strucnjaci, ali su mnogi uz to jos i aljkavi i nemarni. Saberi sada nekoga ko nesto jedva natuca ... i aljkave navike ... i tako dolazi do curenja podataka. Daj mamlazu mysqldump u ruke i sudo rights. Dovoljno.
[ calexx @ 17.01.2022. 21:28 ] @
Citat:
B3R1: Ne ide to bas tako lako. Nakon svakih 5 uzastopnih beskontaktnih transakcija na 6. mestu ce ti traziti pin. Proverio na svojoj kartici mnogo puta.
Možda je negde tako ali mislim da ovde nema limita na broj nego na sumu pa možeš dok god se ne blokira da pazariš ... mislim da je 2k neki limit. Nebitno, ne vidim razliku u tome da neko zaboravi/izgubi karticu ili zaboravi/izgubi (pun) novčanik. Nekako se trudim da to ne uradim. ;)
[ lega99 @ 17.01.2022. 22:29 ] @
@B3R1,

Iz kojeg recnika? kako moze ocas da pogodi nije mi jasno, koliki je to recnik, sta ako npr. neko stavi milisav81 to je vec 9 znakova, nije mi jasno to ocas pogodi, ajde da se radi o nekim super kompjuterima ali PC a jos recnici, neko to mora da napravi i da napravi da bas tvoj pass bude u recniku. Brute force je jedina alternativa a to sigurno traje. Negde sam procita u nekoj zemlji moras da vodis racuna o wi-fi pass ako ti neko provali i napravi njesra, vlasnik wi-fi odgovara sto je stavio los pass.
[ Impaler @ 18.01.2022. 08:32 ] @
Da, kod tih bezkontaktnih kartica nije mi jasno sto sprecava da netko s citacem prode po autobusu punom ljudi.



[ blaki @ 18.01.2022. 09:08 ] @
Citat:
Impaler: Da, kod tih bezkontaktnih kartica nije mi jasno sto sprecava da netko s citacem prode po autobusu punom ljudi.


I misliš, ako sam dobro shvatio, svima "proda" neku glupost za recimo 500 dinđi? Ha, ha,ha. Dobra stvar! Postoji ipak kvaka - mora taj "zarađeni" novac da legne na neki njegov račun koji će, na kraju, kada se "kupci" osveste i požale svojim bankama, na kraju biti povezan s njim, zar ne?
[ mrki666 @ 18.01.2022. 09:35 ] @
Ima još jedan detalj kod prljavih radnji. 90% hakerskih napada se oslanja na ranjivost čoveka a ne sistema ;) Čovek je ta najslabija karika. Što reče neko, ako je administrator nekog sistema i bog će ga znati gde i kako čuva poverljive podatke.

To je dobra stvar kod hakerisanja. Da se razumemo NE PODRŽAVAM. Ali, nebrojano puta hakeri ucene nekog vlasnika sajta, da im isplati neki novac ili će mu srušiti sajt. Naravno ta ucena ne ide direktno, već malo zaobilaznim putem. A tu najveću ulogu igraju administratori sistema. Koji hoće ili neće, da prodaju poverljive podatke.
[ Impaler @ 18.01.2022. 11:22 ] @
Citat:
blaki:
Citat:
Impaler: Da, kod tih bezkontaktnih kartica nije mi jasno sto sprecava da netko s citacem prode po autobusu punom ljudi.


I misliš, ako sam dobro shvatio, svima "proda" neku glupost za recimo 500 dinđi? Ha, ha,ha. Dobra stvar! Postoji ipak kvaka - mora taj "zarađeni" novac da legne na neki njegov račun koji će, na kraju, kada se "kupci" osveste i požale svojim bankama, na kraju biti povezan s njim, zar ne?


To je ako je napadac ujedno i trgovac. Ali sto ako je napadac samo relay, znaci ocita karticu i releya info drugom napadacu koji u ducanu kupi nesto.
[ Ivan Dimkovic @ 18.01.2022. 11:57 ] @
Citat:
mrki666:
Deco, nemoj da ste naivni. wpa pasword se razbija vrlo lako. Treba ti generator reči i to je sve. E sad, zavisi i od toga koliko je složena lozinka. Ali, ove ljude koje ja znam, na primer od 50, 48 ima lozinku proste reči i brojevi do 7-8 karaktera. To se razbija za 20 minuta.


WPA sifra moze biti do 63 karaktera.

Daleko je pametnije umesto tih budalastina sa brojevima i slovima (sto ce biti zapisano negde) ili brojevima i recima (sto ce biti provaljeno) koristiti nasumicnu kombinaciju reci koje samo postavljacu imaju nekog smisla (ili nemaju - bitno je da moze da zapamtni, pretpostavka je da se ta sifra nece deliti drugima, vec da ce se za to koristiti guest-sifra)

Npr:

Code:

sareni elektron radi na kokice i sinanovu kurblu


Ovo ce daleko lakse da se upamti od ~TrzNj12zl4!, a drasticno je jaca sifra.
[ lega99 @ 18.01.2022. 12:01 ] @
Citat:
Impaler: To je ako je napadac ujedno i trgovac. Ali sto ako je napadac samo relay, znaci ocita karticu i releya info drugom napadacu koji u ducanu kupi nesto.

@Impaler pa ti si pun ideja ko zaba dlaka :D koja ideja udje neko u tramvaj i seta po tramvaju i trazi od ljudi da vade karice i ocitava im kartce. Ne ide to bas tako, karticu prislanjas na aparat, sigurno je nece ocitati ako je odmaknes 20cm.
Ima jos jedna mana, sve se belezi i ide u poresku a i skoro svaka pa i najmanja radnjica ima kamere i snimaju, jos pre ni ne secam se koliko radnjici kod mene imala je kamere i snimanje i plus duplo,sve je islo gazdi i na kucu preko zakupljene linije, znaci duplo snimanje. Isto tako penzioner ako skonta da je izgubio karticu i ima nekog mladjeg u kuci ili komsiju pozvace call centar i blokirace karticu. Sad vec i na ulici te snimaju, pogledaj novine kako pronadjose taksistu koji nije povezao onog nestalog momka iz Hrvatske. Tvoj um je usmerenu tom pravcu, vidim da si dobro upoznat oko zlih blizanaca i svakakvih hackova.
[ lega99 @ 18.01.2022. 12:04 ] @
@admin
Moze i ovo:
Code:
Jedne_zime_vruce_teske_jasi_mrtvac_konja_peske
:)
[ Impaler @ 18.01.2022. 12:31 ] @
Nisu to moje ideje, ja samo guglam, ako mogu ja moze svatko sa pol mozga.
Npr ovo za relej :
https://www.researchgate.net/p...ons_by_Using_NFC_Mobile_Phones


https://blog.malwarebytes.com/...rable-to-wireless-pickpockets/



[Ovu poruku je menjao Impaler dana 18.01.2022. u 14:39 GMT+1]
[ lega99 @ 18.01.2022. 13:43 ] @
@Impaler,

Ja pomislio da si prakticar a ne teoreticar i da cu jednog dana procitati kao sto je jednom bilo sleteo sa US nosaca aviona helikopter u neki tamo grad na obali Hrvatske, pokupili momke koji su hackali i opermu i odveli ih. Da li su ih posle pustili ili su im sudili u US nemam pojma. Naterao si me da procitam nesto, zli blizanci to je akanje mobitela socijalni inzinjering, nateras tog na mobitelu da kuca password, izadje kao neka greska pa mora ponovo logovanje. Ja koliko znam kod mene na mobitelu to ne pali a ni na pristoriskom sa Androidom 4.x ne pije vodu, svaki od tih mobitela ima vise konekcija i automatski ako mu jednu ubijes mobitel prelazi na sledecu konekciju i ako konekcija ima pass ili je obican AP mobitel se konektuje. Poruka da treba da kuca pass nazalost ni na jednom mobitelu ne iskace na ekranu nego se smesta u pozadinu pa ako slucajno vidis ako ne nikom nista.
Malwarebytes mora sebe da reklamira a da ima propusta uvek ima, eto sad znaju pa mogu jedan update i da izbace tu opciju. Skacemo sa teme a temu, sad sa beskontaknog placanja karticom i penzionera na hack Apple iPhone’s.
[ Impaler @ 18.01.2022. 14:12 ] @
"Kao sto je jednom bilo sleteo sa US nosaca aviona helikopter u neki tamo grad na obali Hrvatske, pokupili momke koji su hackali i opermu i odveli ih"

Da to su bili darkman i vice iz Zadra, koji su provalili u pentagon, upali im Navy Sealsi u kuce i odvelo ih na guantanamo.
[ calexx @ 18.01.2022. 14:46 ] @
A može li vaša mornarica da upadne u njihovu kuću, pokupi hakere i dovede ih kod vas? Naravno, ako vam hakuju nešto. Ili ako vam iz tih nosača hakuju, a vi pošaljete vaše da ih poapse?
[ lega99 @ 18.01.2022. 15:19 ] @
@calexx,

Ja sam razocaran, postavim .cap file, pisu kako se to ocas sredjuje, sad kad sam postavio ono cvrc niko da se prihvati i meni paceru dokaze da se to ocas sredjuje
[ B3R1 @ 18.01.2022. 18:37 ] @
Citat:
lega99:
Iz kojeg recnika? kako moze ocas da pogodi nije mi jasno, koliki je to recnik, sta ako npr. neko stavi milisav81 to je vec 9 znakova, nije mi jasno to ocas pogodi, ajde da se radi o nekim super kompjuterima ali PC a jos recnici, neko to mora da napravi i da napravi da bas tvoj pass bude u recniku.

Kada kazem "recnik" mislim na spisak reci. Na standardnim Linux distribucijama imas takav fajl - /usr/share/dict/words (primer imas ovde i ovde, a imas i za neke druge ne-engleske jezike ovde). Crack, Hashcat i ostali rade na slicnom principu - otvore taj fajl, citaju rec po rec, primenjuju encrypted hash funkciju (npr. DES, MD5, AES, SHA1 itd.) i porede to sa unapred enkriptovanim passwordom koji negde imaju. Hashcat skida SNonce + MIC poruku koju tvoj laptop salje AP-u (detalje imas ovde), potom na osnovu reci sa spiska formira tu istu poruku i uporedi da li su iste. Ako nisu, znaci nije pogodio password i uzima sledecu rec sa spiska. Normalno, mozes da konfigurises crack (ili hashcat) da za svaku rec provei kombinacije: <rec><cifra>, <rec><cifra><cifra>, <cifra><rec>, <cifra><cifra><rec> ... plus obrnuta rec i sve to. Naravno, sto vise kombinacija proveravas to vise opterecujes CPU i krekovanje traje duze. Ali ako imas na raspolaganju npr. farmu od 20 servera mozes da podelis spisak reci na 20 delova i svakom serveru das da krekuje deo ... itd.

Pre 30 godina Unix crack je uspevao da analizira passworde koji su bili u /etc/passwd i kombinacije tipa "milisav82" je pronalazio veoma brzo (naravno, pod uslovom da se rec "milisav" nalazi na spisku). Ali kao sto rekoh tada smo imali procesore na nivou 486 i P1, mozes da zamislis sta su u stanju danasnji procesori ...
Citat:
Negde sam procita u nekoj zemlji moras da vodis racuna o wi-fi pass ako ti neko provali i napravi njesra, vlasnik wi-fi odgovara sto je stavio los pass.

Mislim da je to svuda slucaj.
[ lega99 @ 18.01.2022. 19:45 ] @
@B3R1,

Hvala na objasnjenju ali stalno me buni to sto gledam te fajlove koje si dao kao primer i reci koje su krace od 8 karaktera, jasno na wiki pise da wpa je minimum duzina 8 karaktera.
Negde sam procitao da je hashcat radio ne preko CPU nego preko GPU, ima slika 2 nvidia GPU kartice i koliko razbijau u minuti. Ne znam sad a i nisam se interesovao mozda sad rade preko CPU
novi AMD Ryzen procesori sa mnogo jezgara ali AMD je tek sad stavio DDR4 na ploce a Intel ima vec pre njih DDR4. GPU imaju DDR5 memorije. Na linuxu hashcat sa AMD GPU je neupotrebljiv jer nema
drajvera koji bi radili, za Nvidiu ima vlasnickih drajvera, e sad dal to radi na linuxu preko GPU nemam pojma. Na win koliko sam procitao pise da radi preko GPU pa ko ima para dobra maticna sa 5-6 PCI-e
slotova i toliko grafickih i moze da rudari ili da se bavi ovom rabotom. Citao sam da ljudi za rudarenje tako rade plus imaju farmu racunara i tako rudare. Do neke verzije na win mogao je
hashcat da radi uporedo sa CPU i GPU i sam program je delio posao procesorima, jedan drugar mi je pricao o tome. Ja sam zamrznut u vremenu tako da je moj domet
AMD buldozer sa 6 jezgra i ASus radeon rx560 gpu a diskovi klasika SATA, nista SSD i brze RAM memorije. Koliko su sad te nove masine brze nemam predstavu, mozda su zato ukinuli da hashcat radi uporedo i
sa GPU i CPU. Zato sam nekako snimio taj .cap fajl sto sam ga okacio jer me zanima koliko su brze te nove masine a sticem utisak iz pisanja da dosta ljudi ima nove masine i farme.

[Ovu poruku je menjao lega99 dana 18.01.2022. u 21:06 GMT+1]
[ B3R1 @ 18.01.2022. 22:19 ] @
Citat:
lega99:
Hvala na objasnjenju ali stalno me buni to sto gledam te fajlove koje si dao kao primer i reci koje su krace od 8 karaktera, jasno na wiki pise da wpa je minimum duzina 8 karaktera.

To su univerzalni spiskovi reci i nisu prevashodno bili namenjeni za krekovanje lozinki, vec za nesto deseto - prvi primitivni spelling checker (Unix spell(1) utility) koji je nastao negde sredinom 1970-ih. Prva verzija spell(1) je bila klasican primer brute force alata - imao je taj fajl sa spiskom reci koji je koristio da proveri spelling u ascii fajlu. Rezultat su bile linije sa pogresno spelovanim recima. Kasnije je algoritam napravljen da radi malo pametnije (vidi: https://archive.org/details/development-of-spelling-list). Imaj u vidu da je tada 64K RAM bio vrh vrhova.

Za potrebe krekovanja ljudi su 90-ih koristili tekstove Usenet News clanaka - na news serverima bi uradili nesto poput:
Code:
# find /var/spool/news -type f -exec cat {} \; | sed -e 's/\ /\n/g' | tr '[A-Z]' '[a-z]' | sed -e "s/[^ a-z']//g" -e 's/\ //g' | sort -u > /usr/shared/dict/words.news

i koristili bi taj fajl zajedno sa originalnim 'words' fajlom kao input za crack. Bio je i zanimljiviji kao izvor lozinki, jer npr. originalni 'words' fajl nije imao nepravilno napisane reci 'nuchelar', 'definately', 'potatoe' i slicno, sto je kod Amera cesta pojava ... cak i medju visoko obrzovanima. :-)))

Ok ... bolje da prestanem s ovim penzionerskim temama iz vremena "Interneta moje mladosti" - nesto malo pre weba i mnooogo pre pojave (a)socijalnih mreza" ... :-)
[ lega99 @ 19.01.2022. 11:11 ] @
@B3R1,

Otislo se od prvobitne tem na sasvim drugu stranu ali posto ljudi slabo posecuju forume pusteno je da se diskutuje nesto sto je nekad bio jeres i odmah je brisano i pisac je banovan.
Za mene doba interneta pocinje kad je Beotel (Repac)prvi pustio internet iako se to pripisuje nekom drugom. Sto se tice masina Fujicu mainframe na kojima sam ja poceo, kartice, drzao je bazu
sa samo 256K memorije u on-line rezimu i sve ekspoziture. Radio sam i na PDP11 i Vax ali to je vec doba za prelaznu obuku na terminale i za mnogo modernije masine sa vise procesora i posebne RDBC masine sa RAID-5.
Sad umesto ove kobasice sto si napisao postoji cewl koji ce iz svakog clanka da povadi sta ti treba. Socijalne mreze, uzas, ljudi daju na izvolte svoj zivot, zivot rodjaka, prijatelja, licne podatke
koje neko lepo unovcava. Zena mi je ovisnik, zabranio sam joj pristup na PC, njen facebook sa koga se nikad ne izloguje poceo je da mi iskace na ekranu sa kojekavim porukama, jedva sam
pronasao u chromiumu setovanje u koje se uglavio i zbrisao ga, od tada socijane mreze kod mene na PC ne postoje a facebook i sve njegove publikovane adrese su blokirane conf fajlu.
Sad je net svakom dostupan, dok sam bio na dil-up bio sam, prvi sam presao na ISDN, pa na optiku a sad nista drugo i nema kod mene u zgradim sem optike, dosadjuju mi svake nedelje da
predjem od jednog provajdera kod drugog. Losom rabotom bave se krimosi ili drzave u sajber ratovanju. :)
[ Impaler @ 19.01.2022. 11:56 ] @
Citat:
lega99:
@Impaler,

Malwarebytes mora sebe da reklamira a da ima propusta uvek ima, eto sad znaju pa mogu jedan update i da izbace tu opciju. Skacemo sa teme a temu, sad sa beskontaknog placanja karticom i penzionera na hack Apple iPhone’s.


Nego, ja sam pitao blakia i druge jel se pokrpao taj Relay Attack na bezkontaktnim karticama.

Mene vise zanima sadasnjost nego proslost. Lamentacije o proslim vremenima me ne zanimaju.

Treba li se drzati beskontaktna kartica u alu foliji ili ne?

[ lega99 @ 19.01.2022. 12:50 ] @
Citat:
Impaler: Nego, ja sam pitao blakia i druge jel se pokrpao taj Relay Attack na bezkontaktnim karticama.

Mene vise zanima sadasnjost nego proslost. Lamentacije o proslim vremenima me ne zanimaju.

Treba li se drzati beskontaktna kartica u alu foliji ili ne?

Nemam pojma ko ti je blakia i nisam nesto video da si to pitao ovde. Ako vec iznosis neke cinjenice-predloge onda napisi do kraja, udjes u tramvaj, taj citac moze da ocita beskontaktnu karticu na toj i toj razdaljini,
onda se putem mobitela prenese to na partnera i on zavrsi posao. Primer gde i kad se tako nesto dogodilo ili je teoretski clanak koji nije preoveren u praksi.
Pisanje na osnovu clanaka koje bi sad ja trebao da citam bas me i ne zanima, zanima me ovo gore sto sam napisao i da li je to neko uradio, domet citaca, to da teoretski moze to me ne zanima.
To sto neko pa i ja spomenemo prosla vremena, preskocis i pokazes malo kulture i postovanja. Ocito da imas mnogo vremena a i afiniteta prema ovoj oblasti.
[ Impaler @ 19.01.2022. 20:07 ] @
I mene to zanima. Na internetu postoje dve strane jedni govore da su beskontaktne kartice cak i sigurnije od ovih drugih. ( prvi su banke)
Drugi kaze da su nesigurne ( drugi ti zeli prodati novcanik s elektromagnetskom zastitom.)
Ne svidaju mi se ni jedni ni drugi.

Sto je istina? , necemo saznati dok svatko za sebe ne provjeri.

Trenutno nisam u mogucnosti skenirat karticu s NFC-om. I probati relej napravit. Mogu samo teoretski proucit.

Meh, ma kupit cu si novcanik s EM zastitom sto me kosta.

[Ovu poruku je menjao Impaler dana 19.01.2022. u 21:41 GMT+1]
[ lega99 @ 20.01.2022. 12:10 ] @
Šta je NFC?

NFC je kratak za u blizini terenskih komunikacija.

U suštini, to je način da vaš telefon komunicira sa nečim u neposrednoj blizini. Radi u radijusu od oko 4 cm i pruža bežičnu vezu između vašeg uređaja i drugog. To omogućava dvosmernu komunikaciju, a oba uređaja uključivaju da mogu slati i primati informacije.

Svaka dalja diskusija o ovome i šetnja po tramvaju nemaa svrhe. Nije nikakva nauka naći informacije, pretraživač u browseru daje odgovore.
Code:
https://www.nextpit.com/what-is-nfc
[ Impaler @ 20.01.2022. 12:52 ] @


NFC kroz alu foliju cak i ne radi




[Ovu poruku je menjao Impaler dana 20.01.2022. u 14:45 GMT+1]
[ lega99 @ 20.01.2022. 21:45 ] @
Citat:
Impaler: NFC kroz alu foliju cak i ne radi

Zakljucak, dizanje prasine, neko prodaje novcanike naivcima i zaradjuje lovu. 4cm i sad taj koji seta po tramvaju treba da dodje do svakog putnika i da se prilepi uz njega, neko bi ga propisno razvalio kad bi mu se tako prilepio uz njega.
[ Impaler @ 21.01.2022. 08:17 ] @
Odoh ja od ovog topica, vidi se da provociras.

[ blaki @ 21.01.2022. 11:42 ] @
Citat:

Mene vise zanima sadasnjost nego proslost. Lamentacije o proslim vremenima me ne zanimaju.

Treba li se drzati beskontaktna kartica u alu foliji ili ne?


Ovde podržavam člana @Impaler

Citat:
Nemam pojma ko ti je blakia i nisam nesto video da si to pitao ovde. Ako vec iznosis neke cinjenice-predloge onda napisi do kraja, udjes u tramvaj, taj citac moze da ocita beskontaktnu karticu na toj i toj razdaljini,
onda se putem mobitela prenese to na partnera i on zavrsi posao. Primer gde i kad se tako nesto dogodilo ili je teoretski clanak koji nije preoveren u praksi.
Pisanje na osnovu clanaka koje bi sad ja trebao da citam bas me i ne zanima, zanima me ovo gore sto sam napisao i da li je to neko uradio, domet citaca, to da teoretski moze to me ne zanima.


Blaki (genitiv: blakia) to sam pretpostavljam ja. Pitanje da budem iskren nisam ni ja video??? I u ovom delu podržavam člana @lega99

Citat:

To sto neko pa i ja spomenemo prosla vremena, preskocis i pokazes malo kulture i postovanja. Ocito da imas mnogo vremena a i afiniteta prema ovoj oblasti.


Ovde mislim da je član @lega99 preterao i vidim određeno vređanje u ljutnji, te mislim da je administrator (ako postoji) ovaj deo trebao brisati!!! To je lična stvar člana @Impaler i to ne može biti predmet opservacije u temi.

Inače da je sve u domenu teorije vidi se u ovom tekstu

https://www.sciencedirect.com/.../article/pii/S1874548219300642

a to potvrđuje i zaključak, da ne morate sve čitati:

There is no evidence whatsoever that such kinds of attack are already applied in practice, but we would not be surprised to see them in the future considering their relative easiness, the possible large scale applicability and the potential payoff. Such attacks can have serious implications for the victims, as the malicious operations would mostly go undetected, with poor possibilities to prove the non-involvement of the legitimate cardholders. It is fundamental that engineers, regulators and researchers keep working on the security of contactless cards, which are apparently going to be more and more widespread and are daily used to regulate many sensitive operations of our life.

Da li je to zbog starosti teksta u navedenom članku, to je upitno i za diskusiju ali sa smirenim strastima, a ne ovim koje su ovde nažalost isplivale na površinu.
[ Nedeljko @ 23.01.2022. 20:02 ] @
U slučaju open source-a,

1. Zna se ko su autori i ko odgovara za to (bilo je izuzetaka kao što je TrueCrypt).

2. Moguće je proveriti da li dati binarni kod odgovara datom sorsu.

3. Moguće je proveriti source.

Što se tiče "ubijanja godinama da se nešto shvati", kada se u sw firmi zaposli novi sw inženjer, on često dolazi na projekat koji postoji godinama i treba da se uključi i da počne da doprinosi. Ne očekuje se doprinos od prvog dana, ali u prvh mesec dana da, dok se dostizanje pune produktivnosti očekuje u prvih 3-6 meseci.

Kada se desi update na novu verziju, moguće je uraditi diff sorsa i videti u čemu se to razlikuje u odnosu na prethodnu verziju.
[ lega99 @ 24.01.2022. 16:31 ] @
@Nedeljko,

Bas sam se slatko nasmejao. Stigne update plazme 150-200 fajlova i ti sad sednes i uporedjujes diff soursa. A sta radis posto momci koji prave plazmu tek tako ukinu neki program, cefne im se, otkriju navodno da ne ispunjava neki kriterijum, sa cim poredis to sto su stavili umesto tog programa a i treba da znas da su uopste nesto stavili ili nisu.
[ lega99 @ 25.01.2022. 10:36 ] @
Citat:
Nedeljko: U slučaju open source-a,

1. Zna se ko su autori i ko odgovara za to (bilo je izuzetaka kao što je TrueCrypt).



Nisam mogao da odolim kad sam ovo pazljivo procitao, kad citas EULU ako je citas niko ne odgovara za softwer, open source tu tek niko ne odgovara i onim "licencama" dato je pravo da svako moze da radi sa programo sta hoce i da ga menja kako hoce.
[ vladared @ 25.01.2022. 21:41 ] @
1. Kada je tako lako ohakerisati nešto, zašto se svi bave ovde nekom teorijom?
2. Kada je tako lako provaliti neki kod i namestiti da postane zvaničan, zašto uopšte postoji open source?
3. Kada je tako lako očitati kartice, kako to da nemamo navalu "čitača kartica" u busevima i prazne račune još uvek?

Ljudi mnogo teoretiranja u ovoj temi, a malo praktičnih i primenjivih priči. Da se razumemo, sve što je čovek napravio je moguće "provaliti" samo se postavlja pitanje vremena i isplativosti. Hakerisanje nečije wifi šifre i bankarskog servera nikada nije bilo isto, ali verovatno ima mnogo više ovog drugog nego prvog. Baš se pitam zašto?
[ vladared @ 25.01.2022. 21:44 ] @
E da, ne znam zašto mi se čini, ali ovo je više za advokaturu, nego za linux ;)
[ Nedeljko @ 26.01.2022. 06:01 ] @
Citat:
lega99: @Nedeljko,

Bas sam se slatko nasmejao. Stigne update plazme 150-200 fajlova i ti sad sednes i uporedjujes diff soursa. A sta radis posto momci koji prave plazmu tek tako ukinu neki program, cefne im se, otkriju navodno da ne ispunjava neki kriterijum, sa cim poredis to sto su stavili umesto tog programa a i treba da znas da su uopste nesto stavili ili nisu.

Da, baš tako. Uradiš diff sorseva, pa vidiš šta je menjano. Neće ti fajlovi da budu u celini menjani, nego u nekima tek poneki red. Videćeš i koji su fajlovi menjani i šta je menjano u svakom od njih.

Porediš sorseve nove verzije sa sorsevima onoga što je bilo instalirano. Simpl ez det.
Citat:
lega99: Nisam mogao da odolim kad sam ovo pazljivo procitao, kad citas EULU ako je citas niko ne odgovara za softwer, open source tu tek niko ne odgovara i onim "licencama" dato je pravo da svako moze da radi sa programo sta hoce i da ga menja kako hoce.

Za malver se krivično odgovara, štagod pisalo u licenci. Druga su stvar nenamerni sigurnosni propusti. Naravno da je svaki propust koji izgleda kao nenameran mogao da bude i namerno napravljen. Međutim, ako postoji parče koda koje radi isključivo neku zlonamernu stvar, onda je to nešto drugo.
[ ironman @ 26.01.2022. 07:27 ] @
Znam da nikom ne verujem.
[ Java Beograd @ 26.01.2022. 08:37 ] @
A pro po čitača kartica u javnom prevozu:

Praktično, možda moguće, ali trasiranje tokova novca - straight forward!

Jer, čitač kartica, kakav se koristi u maloprodaju (a u teoriji se zloupotrebi u javnom prevozu) isporučila je neka banka, i pare koje se tako skinu/ukradu, idu na račun u toj banci.
Posle prve prijave - vlasnik računa lako biva pronađen, uhapšen i oteran na robiju.


[ B3R1 @ 26.01.2022. 10:26 ] @
Citat:
lega99:
@Nedeljko,

Bas sam se slatko nasmejao. Stigne update plazme 150-200 fajlova i ti sad sednes i uporedjujes diff soursa. A sta radis posto momci koji prave plazmu tek tako ukinu neki program, cefne im se, otkriju navodno da ne ispunjava neki kriterijum, sa cim poredis to sto su stavili umesto tog programa a i treba da znas da su uopste nesto stavili ili nisu.

Jesi li ikada cuo za Git? Tu vidis sve razlike u kodu na nivou svake linije ... ako je fajl obrisan u novoj verziji, to se jasno vidi ...
[ Nedeljko @ 26.01.2022. 13:09 ] @
Radi se o tome da nemaš Git repo za nešto što koristiš na računaru, ali postoje programi za diff dve verzije projekta u dva foldera.
[ lega99 @ 26.01.2022. 15:10 ] @
Al vrdas, git, pa ti programi nisu na gitu, Mozes vrdati, poznat si mi odavno po tome. Sa gita uzimam nesto sto nije provereno, nije redovno, uzimam na svoju odgovornost i kompajliram.
Pokusavas skakanjem sa jednog na drugo da eskiviras. Ja sam npr. nasao greske u kalendaru. Te greske sam ispravio i prjavio gde treba ali gospoda koja rade distro svaki puta iako sam zakljucao ispravke svojim update ponistili su mi ispravke sve dok nije po njima to doslo na red da se ispravi. ja sam ti napisao 150-200 izmena programa i ukisanje nekih, ti skaces na git a to nema veze sa tim sto sam ti ja napisao. Evo ajde pomocu tvoje magije napravi da postoji u Debianu i gde su sve ukinuli Ksysguard i da widgeti (neet sped i termal monitor) u koje je neko ulozio rad i trud prorade. U Arch i Manjaru Ksysguard postoji i ti widgeti rade zahvaljujuci ljudima koji odrzavaju taj distro. Idi na KDE forum pa pitaj zasto su ukinuli ksysguard i automatski s*ebali dva widgeta a mozd ai jos neke koje ne koristim, odgovor ce biti nebuloza, kad su poceli da cackaju onda je bilo instaliraj ksysguar i radice e sad odjednom ksysguard izbacen iz eon distroa itd...

[Ovu poruku je menjao lega99 dana 26.01.2022. u 16:43 GMT+1]
[ Nedeljko @ 27.01.2022. 04:35 ] @
Njihov distro, mogu da ubacuju i izbacuju šta hoće i kad hoće. Pomoću diff-a je moguće uporediti novo sa prethodno instaliranim i videti u čemu se sastoje razlike.

Inače, ako ti je do sigurnosti, onda nemoj stavljati Arch, nego nešto što ima starije pakete koji su isproveravani, kao što je praksa u većini distribucija.

B3R1 je naveo git, jer u okviru takvih rešenja obično i ide nekakav diff, mada ovde git nije potreban.
[ lega99 @ 30.01.2022. 20:54 ] @
Dekoncentisan si, ja pisem o distrou koji nema veze sa Arch a ti pises nemoj koristiit Arch ako ti je do sigurnosti. Ti o kojima pisem Neonci-plazmasi unistise KDE. Arch krpi njihove gluposti i stabilniji je od njihove distribucije. To njihov distro moze im se, da slazem se moze im se i onda premestaju module u kontrol panelu ili ih ukidaju, zasto, teorija zavere da trosimo vreme jureci gde su sad premestili ovo ili ono setovanje ili su ga ukinuli ili postoji ali sad treba da ga nadjes gde je od GUI ikone u setovanju postaje samo program za koji nemam pojma gde suga strplai i kako se zove.
Plus na kraju nemam vremena i ne trosi mi se vreme i deo mog zivota na jurenje i trazenje gde je sta promenjeno. Eto skrasio sam se na Archu i Manjaru i miran sam, ako nesto nije ok kod instalacije intaler ne instalira i ne pokvari to sto radi, ako nesto treba vratiti ia downgrade koji to ocas odradi a i oni sami ponekad urade downgrade nekog programa ako procene da nije bas ok.
[ Bradzorf012 @ 31.01.2022. 23:36 ] @
https://www.b92.net/tehnopolis...i-se-pouzdano-azurirao-2097936