karib Δημοσ. 12 Ιανουαρίου 2005 Δημοσ. 12 Ιανουαρίου 2005 Εχω ενα site το οποιο φιλοξενειται σε μια εταιρια Hosting. Για την επικοινωνια μαζι τους, αλλοτε χρησιμοποιω το τηλεφωνο, αλλοτε μεσω email. Θα ηθελα να μου υποδειξετε πιθανούς κινδύνους και κακόβουλες ενέργειες από τρίτους, για τυχόν παραπλανητική επικοινωνία με την εταιρία Hosting, με το ονομά μου. Με απλά λόγια, αν τηλεφωνήσει κάποιος και πει 'Γεια σας, ονομαζομαι karib, Θελω αυτες τις αλλαγες κλπ κλπ' ή στείλει ένα email με ψεύτικα στοιχεία, τότε τι γίνεται? Υποτίθεται οτι οι εταιρίες Hosting ακολουθούν κάποιες πολιτικές ασφαλείας. Πχ. στην forthnet, οταν ζητάς αλλαγες μεσω email, σου στελνουν ενα email για επιβεβαιωση στο οποιο απαιτουν reply. Οποτε μονο εσυ(ο ιδιοκτητης της αληθινης email διευθυνσης) μπορεις να λαβεις αυτο το email και να τους απαντησεις να προχωρησουν στις αλλαγες. Επίσης δεχονται επικοινωνια για θεματα hosting απο συγκεκριμενα , 'δηλωμένα' email. Ετσι δεν μπορει να εμφανιζεται ο καθενας ως karib και να στελνει ενα email ζητωντας οτι θελει. Ακομη κι αν ζητησει κατι απο ενα email που φαινεται δηλωμενο(πχ λεει στο outlook του ο απατεωνας οτι εμφανιζέ με ως [email protected]), τοτε θα σταλει επιβεβαιωτικο email απο την εταιρια hosting, οποτε δεν θα μπορεσει να το λαβει ο απατεωνας, θα το λαβω εγω που κατεχω το πραγματικο email address. Προσπάθειες κακοβουλες θα μπορουσαν να συμβουν και μεσω τηλεφωνου, πιθανολογω. Διοτι ζητω πληροφοριες και η ολη συνομιλια με τους τεχνικους γινεται απλα λεγοντας το ονομα μου. Δεν μπορει να τηλεφωνησει και καποιος αλλος, λεγοντας το ονομά μου? Ετσι, παρα τα ανωτερω μετρα ασφαλειας, εσεις τι κενα μπορειτε να διακρινετε ή να φανταστείτε στην όλη διαδικασια επικοινωνιας? Εννοω όχι για χακεριες αλλα να εμφανιστει καποια στιγμη καποιος στην εταιρια hosting, λεγοντας οτι ειμαι εγω, και να ζητησει αλλαγες που θα με ζημιώσουν.
vask Δημοσ. 12 Ιανουαρίου 2005 Δημοσ. 12 Ιανουαρίου 2005 Φίλε μου, υπάρχουν χαρισματικοί άνθρωποι, με απίθανες ικανότητες στο social engineering. Δυστυχώς, πολύ λίγα μπορείς να κάνεις ... Φιλικά, Βασίλης
karib Δημοσ. 12 Ιανουαρίου 2005 Μέλος Δημοσ. 12 Ιανουαρίου 2005 Social Engineering... Οπως τα περιεγραψε ο Kevin Mitinik! Ενταξει ρε vask, το ξερω, αλλα ας τα πουμε εδω οσοι εχουν να προτεινουν κατι θετικο, μηπως και προστατευτουμε καπως! Να μην ειμαστε εντελως ξεφραγο αμπελι!
mkst Δημοσ. 12 Ιανουαρίου 2005 Δημοσ. 12 Ιανουαρίου 2005 Το πιο σωστο ειναι να δωσεις καποια προσωπικα στοιχεια (πχ αρ. ταυτοτητας) τα οποια θα σου ζητανε σε καθε επικοινωνια που εχεις μαζι τους. Αλλα θε πρεπει και εσυ με την σειρα σου να κρατας τα στοιχεια αυτα κρυφα απο τους αλλους.
stoidis Δημοσ. 12 Ιανουαρίου 2005 Δημοσ. 12 Ιανουαρίου 2005 Προσωπικά ασχολούμαι με το hosting και έχω να κάνω τα εξής σχόλια. Στους πελάτες μου δίνω ένα secure control panel μέσα από το οποίο μπορούν να κάνουν οι ίδιοι τις αλλαγές που θέλουν άμεσα και με ασφάλεια, χωρίς να χάνουν χρόνο και χρήματα σε τηλεφωνήματα. Αν βέβαια είναι απαραίτητη η τηλεφωνική επικοινωνία, τότε αυτή δεν είναι απρόσωπη αλλά γνωρίζω τους πελάτες μου και έτσι φαινόμενα παραπλάνησης είναι πολύ σπάνιο να συμβούν. Τέλος, σε περιπτώσεις μη-αναστρέψιμων αλλαγών στο λογαριασμό κάποιου χρήστη, τότε απαιτείται 3πλή ανταλλαγή e-mail για τη πιστοποίηση του αποστολέα (όπως και η forthnet). Φιλικά, Βασίλης
Tipos Δημοσ. 12 Ιανουαρίου 2005 Δημοσ. 12 Ιανουαρίου 2005 Εγώ πάντως την πάτησα σε μια εταιρία που είχα αναλάβει την διαχείριση του Site τους. Όλα ωραία και καλά, αλλά δεν υπολόγισα στα ανηψιάκια (13 χρονών) του ιδιοκτήτη της εταιρίας, τα οποία χρησιμοποιώντας το τηλέφωνο της εταιρίας πήραν στην εταιρία Hosting και ζήτησαν το Password για το CP του Site. Και οι αθεόφοβοι το ΕΔΩΣΑΝ. Σημειωτέον ότι όλα αυτά έγιναν ακριβός μόλις έφυγα για διακοπές, και όπως καταλαβαίνετε άργησα να καταλάβω τη παίζετε..... Όταν πήρα χαμπάρι τι έγινε και πήγα να μπω να διορθώσω το κακό διαπίστωσα ότι οι πιτσιρικάδες είχαν αλλάξει και το Password και φυσικά δεν μπορούσα να μπω ούτε να κάνω τίποτε άλλο (παιδιά με μέλλον). Η λύση που έδωσα σε τέτοια προβλήματα (φυσικά μετά από τηλέφωνο στην εταιρία Hosting και μετά από αρκετό βρίσιμο) τους συνέστησα να δίνουν το Password μόνο στο Mail του διαχειριστή ([email protected]) και όχι σε όποιον παίρνει τηλέφωνο και το ζητά. (φυσικά μέχρι να λήξη η συνδρομή και μετά έχετε γεια).
vask Δημοσ. 12 Ιανουαρίου 2005 Δημοσ. 12 Ιανουαρίου 2005 Social Engineering...Οπως τα περιεγραψε ο Kevin Mitinik! Ενταξει ρε vask' date=' το ξερω, αλλα ας τα πουμε εδω οσοι εχουν να προτεινουν κατι θετικο, μηπως και προστατευτουμε καπως! Να μην ειμαστε εντελως ξεφραγο αμπελι![/quote'] Τπ σίγουρο είναι ότι όταν κάποιος σαν αυτούς που αναφέρομαι, βάλει στο μάτι κάτι... το σπάει. Πάντως αφού έχεις διαβάσει Mitnick θα έπρεπε να μη χρειάζεται η ερώτηση που έκανες. Φιλικά και καλοπροαίρετα, Βασίλης
karib Δημοσ. 13 Ιανουαρίου 2005 Μέλος Δημοσ. 13 Ιανουαρίου 2005 Tipos αν αυτα τα εκαναν 13χρονα φαντασου τι μπορει να κανει ενας λιγο πιο ψαγμένος... Βεβαια και η εταιρια ηταν απαραδεκτη...
Leandro Δημοσ. 14 Ιανουαρίου 2005 Δημοσ. 14 Ιανουαρίου 2005 Ρε παίδες τι λέτε να πούμε? Δηλαδή τοσο ηλίθιοι είναι αυτοί της εταιρείας? (επειδή έχω εταιρεία...) Η εταιρεία αναγνώρίζει μόνο ενα email. Οποιοδήποτε άλλο, αγνοείται. Και όταν παίρνεις τηλέφωνο, σε ρωτάνε διάφορα. Και δεν ασχολούνται με το πώς θα βάλεις τη σελίδα σου στο account, γιατί σου έχουν δώσει FTP kai control panel. Αν επιμένεις να το κάνουν, δίνεις κωδικό, ή σε παίρνουν στο νούμερο που έχεις δώσει για να βεβαιωθούν. Αυτά! (sorry αν ξέχασα μερικούς τόνους)
karib Δημοσ. 15 Ιανουαρίου 2005 Μέλος Δημοσ. 15 Ιανουαρίου 2005 Leandro επειδη εσυ τηρεις ολα τα μετρα ασφαλειας(και ειναι προς τιμην σου), δεν σημαινει οτι αυτα τηρουνται παντου και παντα απο τον καθε administrator των web sites. Λυπαμαι που το λεω αυτο. Ενα συχνο λαθος ειναι να μην απαιτηθει reply-επιβεβαιωτικο, ενος email που αποστελει καποιος σε εταιρια hosting. Πχ. εγω ξερω οτι ο κωστας που εχει site εχει το mail xxx. Ειναι το mail του. Του στελνω εκει mail, μου στελνει αυτος κλπ. Με αυτο το mail, ο κωστας επικοινωνει και με την εταιρια hosting που εχει το site του. Στελνω λοιπον εγω mail ως xxx(ειμαι κακοβουλος λεμε τωρα). Πανευκολα το κανω. Και ζητω καποιες αλλαγες (πχ. αλλαξτε μου το site απο εκει που ειναι και ετρεχε μονο σελιδες asp σε ενα server που που τρεχει μονο php). Αυτο ειναι κατι ψιλοαθωο. (δεν ζητω να μου στειλουν κωδικους)(και να ζητουσα δεν θα εφταναν ποτε σε μενα αφου εχω fake xxx mail-απλα αληθοφανες, θα πηγαιναν στον κωστα) Αν λοιπον η εταιρια hosting, προχωρησει στην αλλαγη χωρις να επιβεβαιωσει, δημιουργηθηκε δυσλειτουργια. Την πατησαμε! Αυτη η επιβεβαιωση, η τοσο κρισιμη, δυστυχως δεν την κανουν παντα. Ολα τα βλεπουν απλα καμια φορα, και καλες εταιριες. Τι πιο απλο, ζητα ο πελατης μια αλλαγη-καπως αθωα. Τι λετε?
Leandro Δημοσ. 15 Ιανουαρίου 2005 Δημοσ. 15 Ιανουαρίου 2005 An to patheis pote afto kalitera n'allakseis etaireia grigora =)
karib Δημοσ. 21 Ιανουαρίου 2005 Μέλος Δημοσ. 21 Ιανουαρίου 2005 Δεν το εχω παθει. Αλλα προβληματιζομαι μηπως το παθω.
Leandro Δημοσ. 22 Ιανουαρίου 2005 Δημοσ. 22 Ιανουαρίου 2005 Ti na sou po, afou den to exeis pathei, min agxonesai kalitera. Kanei kako stin kardia. lol
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.