Czasem nawet pod koniec roku można trafić na perełkę, która potrafi przyćmić osiągnięcia poprzednich 12 miesięcy. Co może być gorsze niż brak zabezpieczenia? Odpowiedź brzmi „popsute zabezpieczenie” – takie jak ten system resetu hasła.… Czytaj dalej
Pamiętacie aferę z hasłem dostępu do systemu Lotniczego Pogotowia Ratunkowego w TVP? Okazuje się, że pogotowia lotnicze mają pecha do haseł. Zdjęcia księcia Williama, który lata jako pilot helikoptera ratunkowego, ujawniły wojskowe hasła dostępu.… Czytaj dalej
Duża część użytkowników ruterów bezprzewodowych w Polsce korzysta z szyfrowania WPA2-PSK, czasem skonfigurowanego już przez producenta. To z pozoru bezpieczne rozwiązanie – o ile producent nie obliczył hasła na podstawie MAC adresu.… Czytaj dalej
Pamiętacie, jak okazało się, że do bazy MySQL można, w pewnych szczególnych warunkach, zalogować się bez hasła, pod warunkiem, że próbuje się wystarczająco dużo razy? CISCO nie chciało być gorsze i postanowiło również ułatwić życie użytkownikom. Jeśli wierzyć biuletynowi bezpieczeństwa, który ukazał się przed chwilą, podstawowy produkt z linii bezpieczeństwa CISCO, Access Control System, zwany popularnie ACSem, korzystający z protokołu TACACS+ i zewnętrznej bazy LDAP, pozwoli każdemu włamywaczowi, który zgadnie nazwę użytkownika, na zalogowanie się na jego konto.… Czytaj dalej
Trzy miesiące temu rozpoczęliśmy akcję piętnowania serwisów, przechowujących hasła klientów w sposób nie zapewniający odpowiedniego bezpieczeństwa. Wiele serwisów poprawiło swoje zabezpieczenia, jednak niektóre pozostają nieugięte.… Czytaj dalej
Ataki na hashe haseł użytkowników Windowsa, choć kiedyś bardzo łatwe, w ostatnich latach przestały być trywialne. Z pomocą pentesterom wychodzi jednak Microsoft, wprowadzając w Windows 8 nową funkcjonalność, znacznie ułatwiającą zadanie.… Czytaj dalej
Niektórzy całkiem słusznie narzekają, że hasło do Hotmaila może miec maksymalnie 16 znaków. Microsoft zna jednak również inne standardy bezpieczeństwa. Okazuje się, że gdy skonfigurujemy Windows 2000 tak, by korzystał z uwierzytelnienia domeny za pomocą protokołu Kerberos, wymagania wobec hasła znacząco rosną.… Czytaj dalej
Kilka dni temu Blizzard ogłosił, że włamywacze, którzy dostali się do jego wewnętrznej sieci, ukradli dane związane z uwierzytelnieniem graczy z Ameryki Północnej. Blizzard poinformował przy okazji, że korzysta z protokołu SRP, który nie jest zbyt znany.… Czytaj dalej
Kiedy opisywaliśmy jak różne serwisy wysyłają hasło otwartym tekstem swoim użytkownikom, nie sądziliśmy, że trafimy na przykład jeszcze gorszych praktyk z obszaru bezpieczeństwa. O tym, jak bardzo się myliliśmy, poinformował nas nasz czytelnik.… Czytaj dalej
Kilka dni temu pisaliśmy o nagannych praktykach serwisów internetowych, wysyłających hasło użytkownika poczta elektroniczną. Dzisiaj dostaliśmy ciekawe zgłoszenie od naszych czytelników – okazuje się, że proces zarządzania hasłem w serwisie GIODO tez jest daleki od doskonałości.… Czytaj dalej
Wyobraźcie sobie, że w ciągu kilku minut tracicie swoje elektroniczne dane. Dostępy do kont pocztowych, telefonu, tabletu, komputera, wraz ze wszystkimi danymi. Oczywiście możecie w końcu iść na spacer, ale scenariusz może być przerażający.… Czytaj dalej
W tym artykule opisujemy polskie serwisy, które nie przechowują Waszych haseł w bezpieczny sposób, umożliwiając włamywaczom ich poznanie. Będziemy je piętnować tak długo, aż w końcu zmienią swoje praktyki i Wasze hasła będą bezpieczniejsze.… Czytaj dalej
W dzisiejszym odcinku Wpadki Tygodnia nie będzie fajerwerków ani Facebooka. Będzie za to niespodziewany błąd logiki biznesowej i przykład beznadziejnej konfiguracji zabezpieczeń. W szranki stanęły dzisiaj dwie amerykańskie firmy, obie w pełni zasłużenie.… Czytaj dalej
W dzisiejszym odcinku serialu pt. Wpadka Tygodnia laureatów mamy jedno wydarzenie, ale za to dwóch laureatów. Postanowiliśmy przyznać nagrodę zarówno sprawcy naruszenia bezpieczeństwa, jak i ofierze – obie strony bowiem nie popisały się mądrością ani zapobiegliwością. … Czytaj dalej
Co może być gorszego od prostego hasła chroniącego dostęp do uprzywilejowanego konta w urządzeniu sieciowym? Gorsze może być przewidywalne, niezmienialne hasło, zaszyte w oprogramowaniu. Taki prezent zafundowała użytkownikom firma RuggedCom.… Czytaj dalej
Do długiej listy znanych firm, które padły ofiarą włamywaczy i do tego się przyznały, właśnie dołączył Nissan. Wg oświadczenia, którego wersję wideo zamieszczamy poniżej, 13 kwietnia tego roku dział bezpieczeństwa Nissana odkrył wirusa w sieci firmy. Śledztwo wykazało, że dzięki umieszczeniu w sieci złośliwego oprogramowania atakujący uzyskał dostęp do bazy identyfikatorów użytkowników oraz hashy ich haseł.… Czytaj dalej
Z uwagi na ciągle rosnącą ilość włamań i związanych z nimi publikacji baz danych klientów i użytkowników serwisów internetowych, coraz więcej internautów zadaje sobie tytułowe pytanie.… Czytaj dalej
Według wyników eksperymentów opisanych na jednym z blogów, zidentyfikowano zagrożenie dla haseł WiFi przechowywanych na telefonach HTC z Androidem.
Aplikacje, posiadające dostęp do usługi WiFi (uprawnienie android.permission.ACCESS_WIFI_STATE), mogą zapytać system operacyjny o hasło sieci. W przypadku większości aparatów odpowiedzią na to pytanie będzie puste pole lub znak „*” oznaczający, że hasło istnieje, ale nie zostanie w ten sposób ujawnione.… Czytaj dalej
Najnowsza wersja Passware Kit Forensic, flagowego programu firmy Passware specjalizującej się w odzyskiwaniu wszelakiej maści haseł, rozszerza zakres możliwych ataków na systemy szyfrowania całego dysku.
Zaimplementowane ataki opierają się na przechwyceniu pamięci operacyjnej działającego systemu operacyjnego (np. komputera z zablokowanym kontem użytkownika, przy użyciu chociażby ManTech Physical Memory Dump Utility lub win32dd) i odczytaniu z niej hasła dostępu do zaszyfrowanego dysku.… Czytaj dalej
© 2021 Zaufana Trzecia Strona
