Alleen kent die andere iphone de Apple account van de vorige gebruiker nog. En toont die, om de stomme reden dat ik het paswoord van m'n eigen account vergeten ben. En dat staat niet in de KeyChain. Raar toch?
Dan komt op 't zelfde moment dit:
https://krausefx.com/blog/ios-privacy-stealpassword-easily-get-the-users-apple-id-password-just-by-asking
in m'n reading list te staan.
Enfin, it's a good read.
En die iphone kwam in een loop terecht. Bleef om het Apple account paswoord vragen. No way out. Gelukkig kon ik 'm nog uitzetten. Dat gaf even respijt om me 't paswoord te herinneren.
Maar wat doe je met dat Apple ID paswoord?
Opschrijven, dan maar? Waar is de pen?
https://digitasecurity.com/blog/2017/10/09/highsierra/
Kleine foutjes, maar met grote gevolgen. Ik kan me dit van vroeger niet herinneren. Tenzij van 10.0, maar dat was dan ook een beta release van begin tot einde...
cyrano om 17:26, 10-10-2017Maar wat doe je met dat Apple ID paswoord?
Jij vind het raar dat het niet in Keychain staat? Jij bent toch juist van de beveiliging. Maar als je wilt kun je het altijd nog in een 'Beveiligde notitie' in Keychain zetten.
geblokkeerd
Lijkt mij zo'n pretje om met dat soort mensen tijdens het avondeten de dag door te nemen.
Flix om 10:53, 11-10-2017Citaatcyrano om 17:26, 10-10-2017Maar wat doe je met dat Apple ID paswoord?Gewoon onthouden?Jij vind het raar dat het niet in Keychain staat? Jij bent toch juist van de beveiliging. Maar als je wilt kun je het altijd nog in een 'Beveiligde notitie' in Keychain zetten.
De vraag is natuurlijk waarom het niet in de KeyChain staat...
Ik onthoud dat meestal wel hoor. Alleen, na een aantal problemen met betalen in de appstore, waar Apple's antwoord op was "updaten naar EC", heb ik het moeten resetten. En toen ben ik 't prompt vergeten.
En wat volgens Apple niet kon, werkt nu gewoon...
Dat lukt niet altijd. Met enige regelmaat moet ik mijn wachtwoord resetten, of voor de 'security' wijzigen en weer een nieuwe onthouden. Je gaat de boel makkelijk door elkaar gooien.
Maar ik heb de oplossing: Ik schrijf het in mailjes naar mijzelf en heb een lijstje in Excel dat ik af en toe uitprint en in de la leg.
Ik vind die 'security' dan ook een last en het is een paard achter de wagen want ik zal niet de enige zijn die moeite heeft om dat allemaal in het hoofdje op te slaan.
En inderdaad heeft die gast die ooit heeft verzonnen dat bv 'dih5b#DF&w%%!' een veilig ww is, laatst de wereld zjn excuus aangeboden. Je moet gewoon een zin aanmaken, die voor jou logisch is, en voor een ander niet. Meestal kun je dan ook aan de eis van voldoen van waaruit het ww moet bestaan, zoals hoofdletter, getal, leesteken, aantal tekens.
Flix om 23:27, 11-10-2017Zet ze het bestand met alle gebr.naam/ww dan bv in een Beveiligde notitie in Sleutelhangertoegang.En inderdaad heeft die gast die ooit heeft verzonnen dat bv 'dih5b#DF&w%%!' een veilig ww is, laatst de wereld zjn excuus aangeboden. Je moet gewoon een zin aanmaken, die voor jou logisch is, en voor een ander niet. Meestal kun je dan ook aan de eis van voldoen van waaruit het ww moet bestaan, zoals hoofdletter, getal, leesteken, aantal tekens.
Yep.
En met die zin kan je makkelijk spelen. Nieuw wachtwoord?
Oud wachtwoord is van augustus: "ik ben een kameel in de zomer".Nieuw wachtwoord is van december: "ik ben een ijsbeer in de winter".
Lekker lang en dat is wat telt. En ja kan oneindig veel variaties bedenken. Elke keer in een andere taal, bv.
Dat maakt woordenboek aanvallen op je paswoord onmogelijk En "woordzin" aanvallen zijn er eigenlijk niet, want dat is veel te complex.
En ik ben het niet eens met de stelling "dat is security, dan moet je 't maar onthouden". Ik heb paswoorden voor andere diensten, die veel belangrijker zijn dan een Apple ID. Daar wordt wel elke keer voor aangeboden om ze toch maar in de KeyChain te steken...
Ik ken ook geen enkele andere uitzondering...
En net dat Apple ID blijkt de de laatste paar jaar niet zo waterdicht. Vergeet dan ook niet als je paswoorden synct via iCloud al je paswoorden toegankelijk zijn voor wie je Apple ID kraakt.
En ik weet niet hoeveel paswoorden jullie hebben, maar ik kijk er alvast niet naar uit AL m'n paswoorden te gaan resetten. Ik heb dat recent mogen doen voor een aantal zeer oude accounts, naar aanleiding van de complete Yahoo break. Dat is geen pretje, ook al omdat je zo goed als nergens een account kan verwijderen.
Voor mijn servers geen probleem. Bij de eerste berichtgeving erover heb ik alle registraties met een Yahoo account geblokkeerd. De meesten veranderen dat oude paswoord gewoon niet. En als ze 't toch proberen sturen ze wel een mailtje...
cyrano om 14:22, 12-10-2017En ik ben het niet eens met de stelling "dat is security, dan moet je 't maar onthouden". Ik heb paswoorden voor andere diensten, die veel belangrijker zijn dan een Apple ID. Daar wordt wel elke keer voor aangeboden om ze toch maar in de KeyChain te steken...
Leuke voorbeelden trouwens, die wachtwoord-zinnen.
Vandaag lukt dat alleen met paswoorden die ik minstens wekelijks gebruik. Voor de rest vertrouwde ik op de KeyChain. Maar dat vertrouwen is op z'n minst een beetje gekneusd...
En voor degenen die denken dat ik zoek naar dergelijke berichten, dit kwam binnen:
http://fortune.com/2017/10/12/equifax-hacked-again-adware/
"Equifax hacked again" is de Tl, Dr.
Maar eigenlijk was ik dit aan 't lezen:
https://cosmosmagazine.com/biology/just-10-rivers-to-blame-for-millions-of-tonnes-of-ocean-plastic
Ondertussen heeft de server van cosmos er de brui aan gegeven...
De laatste maanden zijn er veel security berichten over Apple in m'n reading list. En minder en minder over Windows.
Misschien moet ik terug gaan TV kijken. Dat schijnt rustgevender te zijn
Alleen kan ik niet tegen reclame. Adblocker voor TV?
cyrano om 21:05, 12-10-2017De laatste maanden zijn er veel security berichten over Apple in m'n reading list. En minder en minder over Windows. Misschien moet ik terug gaan TV kijken. Dat schijnt rustgevender te zijn .
Mogelijk zit dat in de aard van het beestje?
https://medium.com/@philipn/want-to-see-something-crazy-open-this-link-on-your-phone-with-wifi-turned-off-9e0adb00d024
Let wel, dit is US only, voor zover ik 't kan bekijken. Maar gezien de historie van sommige providers hier, zou het me niet verbazen dat sommigen ook zo'n lek hebben.
Niet in België, dankzij wetgeving die bekend staat als "De Chinese Muur". Die legt vast dat marketing en verkoop niet mogen werken met technische gegevens, zoals "hoeveel belt deze klant?" Er is dus hier geen enkele provider die zoiets online heeft. Ten minste, dat hoop ik...
Dit is natuurlijk geen specifiek Apple probleem (het werkt ook alleen met smartphones), eerder een indicatie hoe snel het hopeloos wordt als er geen wetgeving in de weg staat.
(Bewerkt door cyrano om 15:40, 17-10-2017)
https://twitter.com/jkbloodtreasure/status/907644775196758017
Moslims in China...
Niet dus.
Een probleem dat de sec community momenteel teistert, is demotivatie.
- De schurken worden rijk, de researchers krijgen een proces aan hun been.- Ze worden algemeen als lastpakken aanzien, vooral dan door de grote bedrijven. Security kost veel en levert niks op, in hun ogen.- Er zijn gewoon te veel producten om grondig te bekijken. Ook in de open source. En de slordigheid in software wordt erger. Snel en veel erger. De schuld ligt bij de opgedreven release snelheid. En dan niet alleen bij Apple, alhoewel Apple wel als voorbeeld kan dienen.
Schapen zijn geen gemakkelijke beesten, voor de herder. Tenzij die een goede hond heeft
Mensen hun geloof onderste boven halen, is niet prettig. Niemand doet dat zonder reden. En het geloof dat "Macs onkwetsbaar zijn", kom je nog steeds tegen. In de tijd van OS9 (pre OSX), kon je zo'n machine gerust aan 't net hangen. Die was niet eens multitasking, laat staan multi-user. Dus inbreken daarop was niet mogelijk, want die machine luisterde niet eens naar 't net.
Bijkomend maakt Apple het "weten in plaats van geloven" erg moeilijk, door zo goed als niks te documenteren. Ik heb er niks tegen dat ze hun marketing geheimen bewaren, in tegendeel, maar obscurity werkt niet in security. Het alternatief is dat alleen de onderwereld nog geïnteresseerd is in research. Maar die publiceren niet...
Deze keer schiet Microsoft de hoofdvogel af. Nu wordt bekend dat hun interne database met gaten en patches in 2013 gekraakt werd.
It seems that the database containing descriptions of critical and unfixed bugs and/or vulnerabilities in some of the most widely used software in the world, including the Windows operating system, has hacked back in 2013. This database is basically gold for any security researcher, regardless of the color of their hat. To know which programs fail and the preconditions for that to happen is half an exploit right there.Microsoft discovered the database breach in early 2013 after the highly skilled hacking group Morpho a.k.a. Butterfly a.k.a. Wild Neutron broke into computers at a number of major tech companies, including Apple, Facebook, and Twitter. The group exploited a flaw in the Java programming language to penetrate employees Apple Macintosh computers and then use them as pivots into the company internal network.Official sources say that the Microsoft bug database was poorly protected, with access possible via little more than a password. Four years later, we have official confirmation that it happened. To measure the breach impact, Microsoft started a study to correlate the potential flaws in their databases and subsequent attacks. The study found that the flaws in the stolen database were actually used in cyber attacks, but Microsoft argued the hackers could have obtained the information elsewhere, and that theres no evidence that the stolen information had been used in those breaches.There is really no way to know besides asking the actual hacking group, which will most likely not happen unless they are HaD readers, in this case they can fell free to comment.
Microsoft discovered the database breach in early 2013 after the highly skilled hacking group Morpho a.k.a. Butterfly a.k.a. Wild Neutron broke into computers at a number of major tech companies, including Apple, Facebook, and Twitter. The group exploited a flaw in the Java programming language to penetrate employees Apple Macintosh computers and then use them as pivots into the company internal network.
Official sources say that the Microsoft bug database was poorly protected, with access possible via little more than a password. Four years later, we have official confirmation that it happened. To measure the breach impact, Microsoft started a study to correlate the potential flaws in their databases and subsequent attacks. The study found that the flaws in the stolen database were actually used in cyber attacks, but Microsoft argued the hackers could have obtained the information elsewhere, and that theres no evidence that the stolen information had been used in those breaches.
There is really no way to know besides asking the actual hacking group, which will most likely not happen unless they are HaD readers, in this case they can fell free to comment.
En dit komt van Hackaday's blog. Normaal doen die niet eens aan security...
Dan bespaar ik jullie de hack van de Estse paspoorten (E-ID's) en vraag me af hoeveel beter de onze zijn.
"In de tijd van OS9 (pre OSX), kon je zo'n machine gerust aan 't net hangen. Die was niet eens multitasking, laat staan multi-user. Dus inbreken daarop was niet mogelijk, want die machine luisterde niet eens naar 't net. "
Je dacht hier toch niet mee weg te komen op een Mac gebruikers website
(tenzij iedereen hier alleen maar bekend is met OSX, in dat geval een heel erg makkelijk te vinden hintje https://en.wikipedia.org/wiki/Mac_OS_9 )
rt om 13:24, 18-10-2017Voor de duidelijkheid: het citaat, tussen de aanhalingstekens, komt van jou en is onwaar mbt multitasking, multi-user en luisteren naar het net. Het rond strooien van dat soort beweringen kwaliificeer ik als nep-informatie.
Er heeft in Zweden een paar jaar een pre-OSX Mac aan 't net gehangen, waar je 10 of 20.000 krone kon mee verdienen door in te breken. Die is nooit gekraakt, de prijs is nooit opgeëist.
Echt multi-tasking was OS9 niet, vziw. En ja, ik heb de Switcher meegemaakt van in 't prille begin. Maar dat hangt af van je definitie van multi-tasking.
En een groot verschil tussen MacOS van toen en de systemen van vandaag was dat de Mac niet antwoordde op een oproep op een poort. Andere systemen meldden "poort gesloten", de Mac zweeg.
Dat is ten minste wat m'n geheugen geregistreerd heeft, lang geleden. Als ik daar fout in ben, mag je 't me altijd uitleggen. We zijn nooit te oud om te leren.
Een zich goed gedragende applicatie hield de CPU- en andere resources nooit veel langer dan 100-250ms voor zichzelf, waardoor het in de praktijk een beetje op multi-tasking leek. Maar ik herinner me ook dat je bij bepaalde handelingen soms wel meer dan 20 seconde lang het klokje in de menu-balk stil zag staan. Dan kwam dus het OS zelf niet eens meer 1 x per sec. aan de beurt om het klokje een seconde verder te zetten. ("oplossing" was natuurlijk om de seconde-weergave uit zetten, dan viel het niet zo op...).
Eigenlijk kom je voor echte multitasking niet onder pre-emptive multitasking uit. Daarbij krijg je van de scheduler gewoon een bepaalde tijd alle resources, waarbij de scheduler je ook weer kan onderbreken als er een ander proces aan de beurt is. Er zijn allerlei slimme algoritmes en mechanismes waarmee schedulers werken om een maximaal gevoel van multitasking te bewerkstelligen, maar laten we er geen college Operating-System design van maken...
Samenvattend: multitasking op de Mac voordat MacOSX er was, was behoorlijk primitief.
Overigens vanaf MacOS9 was er ook multi-user ondersteuning. Beetje vergelijkbaar met fast-user-switching onder MacOSX, maar de processen van background-users kregen van de scheduler - meen ik - alleen resources als de voorgrond-gebruiker idle was. Echt goed kon je dat natuurlijk niet in de gaten houden.
Qua security: Volgens mij stond er op MacOS standaard niks open naar buiten. Dat is een uitstekende default waarmee je een heel veilig systeem krijgt. Maar in die tijd was ik nog niet echt met security bezig, dus bekeek ik de dingen nog wat anders dan nu.
(ik kocht mijn eerste PowerMac een half jaar voordat MacOSX uit zou komen. Helaas werd dat toen nog wat uitgesteld en was bovendien MacOSX 10.0 nog niet heel erg snel en compleet, dus ik heb nog een poosje met MacOS9 "moeten" werken. Nooit begrepen waarom mensen zo enthousiast over MacOS waren, maar misschien was het heel fijn voor mensen die in hun workflow ook niet multitasken en gewoon met 1 programma werken?)
Gast
