Drobiazgi
Sprawy drobne, acz ciekawe
Jeśli czasem, zmuszeni do podania jakiegoś adresu email, zaczynacie uderzać w klawisze klawiatury w nadziei na utworzenie pseudolosowego, nieistniejącego adresu, przyjrzyjcie się wynikowi tej operacji. Jeśli domena, którą wygenerowały Wasze palce do asdf.pl, to pocztę przechodzącą na ten adres będą mogły przeczytać osoby postronne.… Czytaj dalej
Odezwał się kiedyś do Was na Skypie bot? Nam się przydarzyło. Najczęściej boty opowiadają o tym, że są nudzącymi się kobietami, które chcą z kimś poflirtować, po czym rozmówca otrzymuje linka do platformy na której rzekomo można obejrzeć co właśnie robi ta druga, w rzeczywistości wirtualna osoba.… Czytaj dalej
Bitfinex, jedna z największych giełd kleptowalut, padła ofiarą hakerów. Jeśli wierzyć serwisowi Bitcoinity, Bitfinex był w ostatnich dniach największą pod względem obrotów giełdą nie obsługującą chińskiej waluty. Co prawda jej udział w globalnym rynku wynosił jedynie ok. 1-2%, lecz ciągle było to 40 000 BTC obrotu w ciągu doby.… Czytaj dalej
Jedna z najlepszych polskich konferencji poświęconych bezpieczeństwu zamyka dzisiaj listę zgłoszeń prezentacji. Występ na SECURE to świetna przygoda, okazja do spotkania sporej części branżowego towarzystwa i możliwość wysłuchania innych wartościowych prezentacji. Serdecznie polecamy wysłanie zgłoszenia – to także dobra metoda na zmotywowanie się do przygotowania solidnej prezentacji.… Czytaj dalej
Projekt Let’s Encrypt zrewolucjonizował rynek certyfikatów SSL, rozdając je za darmo i wymuszając automatyzację procesu ich odnawiania. Nowe projekty nie są jednak wolne od błędów i nawet najszczytniejsze idee nie gwarantują pełnej ochrony danych użytkowników. W rozsyłanym własnie do uzytkowników emailu z aktualizacją warunków świadczenia usług Let’s Encrypt zawarł… sporą listę odbiorców w treści samej wiadomości.… Czytaj dalej
Aktualizacja 2016-06-08
Acunetix wydał oświadczenie w którym informuje, ze zrzut ekranu przedstawiony poniżej jest fałszywy. Informuje także, że istotnie strona była niedostępna przez prawie cały dzień, co wiązało się z restartem hosta w serwerowni w której strona jest umieszczona i koniecznością „nadzorowanego restartu strony WWW”, cokolwiek to oznacza.… Czytaj dalej
Jeśli popsuł się Wam dzisiaj bezprzewodowy internet a dostawca usługi klął gdy odbierał telefon (lub nie odbierał, bo biegał i klął) to pozdrówcie firmę Ubiquiti, której urządzenia mają błąd pozwalający na zdalne wykonanie kodu bez uwierzytelnienia, oraz autora wirusa, który od parunastu godzin infekuje wszystko co na drzewo nie ucieka.… Czytaj dalej
Właśnie ukazał się nowy odcinek polskiego podcastu o bezpieczeństwie nagrywanego przez Fundację Bezpieczną Cyberprzestrzeń. W tym wydaniu specjalnym możecie posłuchać rozmowy z Gynvaelem Coldwindem i Mateuszem Jurczykiem, współtwórcami drugiej najlepszej drużyny CTF roku 2015, Dragon Sector. Dla zwolenników innych form konsumpcji dźwięku jest także plik do pobrania (45 MB).… Czytaj dalej
Strona ECCouncil, organizacji odpowiedzialnej za wydawanie certyfikatu Certified Ethical Hacker, serwuje Angler Exploit Kita.Wystarczy wejść z Google i udawać Internet Explorera by otrzymać odpowiedni wsad dla przeglądarki.
Trudno nam w sumie udawać zaskoczonych, skoro już trzykrotnie pisaliśmy o włamaniach na ich stronę…… Czytaj dalej
Nasi przyjaciele z Sekuraka odwalają kawał dobrej roboty i właśnie wydali drugi już numer swojego magazynu poświęconego bezpieczeństwu aplikacji WWW. Jeśli nie czytaliście części pierwszej to znaczy że macie dwie do nadrobienia!
Spis treści wygląda następująco:
- Mechanizm Service Workers
- Wszystko o CSP 2.0 – Content Security Policy jako uniwersalny strażnik bezpieczeństwa aplikacji webowej
- Ochrona podatnych aplikacji webowych za pomocą wirtualnych poprawek w ModSecurity
- Czym jest atak Padding Oracle
- Czym jest Bit-Flipping
- Bezpieczeństwo aplikacji webowych: podatności w mechanizmach uploadu
- Ukryte katalogi i pliki jako źródło informacji o aplikacjach internetowych
- Czym jest i jak wykorzystać podatność Relative Path Overwrite/Path–Relative Style Sheet Import (RPO/PRSSI)
- Mechanizm HTTP Public Key Pinning
Zapraszamy do lektury.… Czytaj dalej
Nie wiemy czy tę informację zostawić w kategorii Drobiazgi, czy może raczej FunSec. Ale po kolei. Użytkownicy forum gry BloodWars otrzymali dzisiaj wiadomość o wycieku bazy danych forum. Zacytujmy najciekawszy fragment informacji:
Po pierwsze to przetworzenie przez funkcję skrótu trudno nazwać szyfrowaniem – to w końcu operacja jednostronna.… Czytaj dalej
Właśnie ukazał się kolejny odcinek polskiego podcastu o bezpieczeństwie nagrywanego przed Fundację Bezpieczną Cyberprzestrzeń. W tym wydaniu możecie posłuchać opowieści o pierwszym polskim ransomware DMA Locker. Gościem audycji jest Hasherezade, która jako pierwsza dogłębnie przeanalizowała kod programu, w jednej z jego wersji znalazła błędy i przygotowała narzędzie umożliwiające odzyskanie danych.… Czytaj dalej
Jeśli korzystacie z klienta protokołu bittorrent Transmission w systemie OS X to zalecamy szybką aktualizację do 2.91 i usunięcie wersji 2.90, która była zainfekowana złośliwym oprogramowaniem. Nie wiemy w jaki sposób koń trojański został podłożony do kodu, ale przez co najmniej kilka godzin można go było pobrać z oficjalnej strony projektu.… Czytaj dalej
Jeden z naszych Czytelników podesłał nam (dziękujemy) takie oto zdjęcie wykonane w recepcji firmy Philips Lighting Poland w Pile. Kawałek schowaliśmy, ale widoczne były wszystkie dane potrzebne by uzyskać dostęp do skrzynki pocztowej recepcji. Strach się bać co można było tam znaleźć.… Czytaj dalej
Programy antywirusowe ESETa mają błąd w najnowszej bazie danych i alarmują o infekcjach na niewinnych stronach. Potrafią ostrzegać przed atakami na przykład na stronach Allegro, Wykopu lub Wirtualnej Polski – to fałszywe alarmy. Znajdują takie wyimaginowane zagrożenia (rzekome konie trojańskie) jak:
…
Czytaj dalej
Mamy dla Was ciekawy przykład dystansu, jaki w naszej branży dzieli teorię od praktyki. Przykład dostarczyła firma grupa adweb, właściciel serwisu hostingowego 2be.pl.
17 lutego na swoim koncie Twittera firma zaprosiła wszystkich na spotkanie poświęcone bezpieczeństwu, którego jest jednym z patronów.… Czytaj dalej
Serwis WWW jednej z najpopularniejszych desktopowych dystrybucji Linuksa, Mint, został zhakowany (i to dwukrotnie) a włamywacze podmienili linki prowadzące do obrazów ISO na złośliwe. 20 lutego nieznane osoby uzyskały kontrolę nad treściami pojawiającymi się pod adresem www.linuxmint.com i podmieniły linki prowadzące do plików ISO Linux Mint 17.3 Cinnamon.… Czytaj dalej
Właśnie ukazał się kolejny odcinek polskiego podcastu o bezpieczeństwie nagrywanego przed Fundację Bezpieczną Cyberprzestrzeń. W tym wydaniu możecie posłuchać przede wszystkim o walce Apple z FBI. Dla zwolenników innych form konsumpcji dźwięku jest także plik do pobrania (27 MB).
… Czytaj dalej
Na Reddicie pojawiła się wczoraj bardzo pouczająca historia z dawnych lat. W dużej instytucji naukowej pewien pracownik postanowił wysłać wiadomość email w poszukiwaniu mieszkania do wynajęcia. Uznał, ze najlepiej będzie zapytać wszystkich użytkowników – a było ich 30 tysięcy. Bohater historii wysłał pytanie na adres [email protected].… Czytaj dalej
Tak, tym razem około godziny 13 Allegro dołączyło do OLX i Gadu Gadu i walczy z problemem z zarządzaniem sesjami użytkowników. Klienci bywają logowani na cudze konta przy każdym odświeżeniu strony. Allegro o problemie wie (na razie zablokowało możliwość korzystania z wielu funkcji oraz sprytnie wyłączyło wyświetlanie nazwy aktywnego użytkownika) i liczymy na to, że wkrótce dowiemy się, co było przyczyną awarii.… Czytaj dalej
Polski zespół Dragon Sector startujący w konkursach CTF zajął drugie miejsce w globalnym światowym rankingu za rok 2015. To kolejny sukces na koncie Dragon Sectora, który w pierwszym roku działalności zajął 3 miejsce, rok później wygrał w ogólnej klasyfikacji a obecnie po raz trzeci z rzędu stanął na podium.… Czytaj dalej
Badacze z zespołu Palo Alto Networks opisali najnowszą kampanię niebezpiecznego Angler Exploit Kitu. Przestępcy infekują za jego pomocą komputery użytkowników, którzy nie zadbali o posiadanie bezpiecznych przeglądarek i aktualnych wtyczek. Kluczowym elementem łańcucha infekcji są zwyczajne strony WWW przejęte i kontrolowane przez przestępców, w których zamieszczane są pułapki na odwiedzających.… Czytaj dalej
Duża firma hostingowa Linode po raz kolejny padła ofiarą włamania. Wczoraj ogłosiła, że resetuje hasła wszystkim klientom. Jak pisze firma, śledztwo w sprawie nieautoryzowanego dostępu do kont trzech klientów doprowadziło do odkrycia loginów i haseł dwóch klientów na zewnętrznym serwerze.… Czytaj dalej
Serwis TorrentFreak zauważył, że na stronach Netgeara znajduje się ciekawa instrukcja przesyłania dużych plików za pomocą programu Netgear Genie. W zrzutach ekranu demonstrujących działanie aplikacji można znaleźć nazwę przesyłanego pliku wskazującą, że jest to piracka kopia filmu pobrana z serwisu torrentowego.… Czytaj dalej
Od około godziny platforma Steam notuje problemy z serwowaniem stron WWW. Użytkownicy logujący się do swojego konta widzą losowe konta innych użytkowników. Czasami zmienia się język strony i wyświetlane są dane przypadkowych osób. Wiąże się to prawdopodobnie z problemami z warstwą cache, czyli tymczasowego przechowywania niektórych stron w celu szybszego ich serwowania.… Czytaj dalej