O co chodzi z podatnością "log4j"? #od0dopentestera
Szybkie wyjaśnienie dla osób nietechnicznych.

1. Log4j to bardzo popularna biblioteka używana w aplikacjach stworzonych w języku Java.
Służy ona do zapisywania logów z działania programu.
Log to chronologiczny zapis tego co dzieje się w systemie informatycznym.
Może być przydatny podczas rozwiązywania problemów.

2. Kilka dni temu odkryto błąd w bibliotece.
Jeżeli w tekście, który został przesłany do biblioteki znajduje się odpowiednio zapisanyPokaż całość

Co o Tobie wiadomo dzięki informatyce śledczej? #od0dopentestera
• Listę odwiedzanych stron można odczytać nie tylko na podstawie ciasteczek czy historii przeglądarki, ale także za pomocą plików tymczasowych. Jeśli używasz Chrome'a możesz użyć programu ChromeCacheView.
• Eksplorator pod Windowsem czasami tworzy miniaturki plików graficznych. Znajdują się one w plikach thumbcache. W sprzyjających okolicznościach można tam znaleźć usunięty obrazek.
• Jeżeli korzystasz z przywracania systemu, to co jakiśPokaż całość

Jak wyglądała historia zabezpieczeń konsoli Xbox? #od0dopentestera
• Pierwsza konsola posiadała tak zwany ukryty ROM. Był to bardzo mały kod, którego celem była inicjalizacja pamięci oraz odszyfrowanie i załadowanie kolejnego, drugiego bootloadera. Ten mały kod zawierał zatem klucze szyfrujące, które miały ochronić konsolę przed atakami. Bez ich znajomości nie można stworzyć nowego, alternatywnego oprogramowania, które zostałoby zaakceptowane przez konsolę.
• Te 512 bajtów znajdowało się w mostku południowym, który komunikowałPokaż całość

Phreaking to łamanie zabezpieczeń w celu uzyskania darmowego połączenia telefonicznego. Jak to wyglądało w Polsce kilkanaście lat temu? #od0dopentestera
• AW-652 (zwany mydelniczką) - to automat wrzutowy. Czyli aby zadzwonić, należało do niego wrzucić monetę. Zabezpieczenia tego urządzenia były bardzo prymitywne. Widelec lub inne cienkie narzędzie wkładało się w otwór na zwrot monet i wykonywało delikatne ruchy. Wnętrze otworu było niedokładnie spasowane z obudową. Kliknięcie w odpowiednie miejsce było traktowane jak wrzuceniePokaż całość

Jak zabezpieczone są gry na PlayStation i dlaczego płyty nagrywane domowymi sposobami nie są rozpoznawane jako oryginalne? Krótka historia zabezpieczeń konsoli. #od0dopentestera
* Płyty do PSX posiadały wobble groove. Był to dziwny, pofalowany kształt znajdujący się w pewnym fragmencie płyty, którego nie dało się odtworzyć przy pomocy nagrywarki. Konsola podczas uruchomienia gry weryfikowała informacje o regionie, które były tam zapisane. Szybko zauważono jednak, że płyta sprawdzana jest tylko raz – podczasPokaż całość

Co sprawia, że banknoty są trudne do podrobienia? #od0dopentestera
* Znak wodny to obraz widzialny "pod światło", który powstaje przez to, że warstwa papieru jest w niektórych miejscach cieńsza. Możesz uzyskać podobny efekt wykorzystując mokrą kartkę i długopis. Poradnik krok po kroku znajdziesz tutaj lub tutaj.
* Kojarzysz wzory, które znajdują się na świadectwie szkolnym? To gilosz - zawiły rysunek ornamentowy wykonany z wielu cienkich linii krzywych. W latach 90Pokaż całość

Dlaczego do dekodera wkładamy kartę? Jak w przeszłości łamano zabezpieczenia telewizji satelitarnej? Krótka historia zabezpieczeń. #od0dopentestera
* System Videocrypt szyfrował obraz za pomocą techniki cięcia i obrotu. Wyobraź sobie, że prawidłowa linia obrazu jest reprezentowana przez liczbę 0123456789. Zaszyfrowany obraz przedstawiano jako 4567890123. I tak z każdą linią. Specjalne urządzenie (unscrambler) było w stanie odtworzyć prawidłowy obraz.
* W przeszłości sygnał nie był szyfrowany. Żądanie opłaty za dostęp do telewizji nie spotkałoPokaż całość

OPSEC - bezpieczeństwo informacyjne jest bardzo często rozumiane jako ochrona informacji przed przypadkowym lub świadomym ujawnieniem. Jakie zasady stosować na co dzień? #od0dopentestera
* Nie publikuj zdjęć karty pokładowej w mediach społecznościowych. Na podstawie danych z fotografii można zmienić miejsce w samolocie, podglądnąć dane pasażera a czasem nawet odwołać lot.
* Używasz funkcji autoresponder? Dzięki niej inni (także potencjalni przestępcy) wiedzą, że nie ma Cię teraz w pracy.Pokaż całość

Jak przestępcy próbują nas oszukać? Przykłady realnych ataków i manipulacji: #od0dopentestera
* Tworzą fałszywe konkursy, które są reklamowane przez znane osoby (bez ich zgody).
* Podszywają się pod pracowników banku i proszą o hasła do kont.
* Wysyłają wiadomości SMS z nieprawdziwą informacją od komornika lub kuriera.
* Generują domeny podobne do oficjalnych adresów różnych instytucji.
* Tworzą rejestry, które przypominają z nazwy państwowe spisy.
*Pokaż całość

Interesujesz się bezpieczeństwem? A słyszałeś o tych pojęciach? #od0dopentestera
• Public Suffix – strony na tej liście nie mogą ustawiać ciasteczek w przeglądarce
• Tabnabbing – podmiana zawartości zakładki, z której nastąpiło kliknięcie na inną stronę
• CSS Keylogger – przy pomocy stylów można odczytać treść danych z formularza
• Gotcha – jak wykorzystać mechanizmy Captchy w atakach phishingowych
• X-HTTP-Method-Override – przy pomocy nagłówka można zmienić metodę GET naPokaż całość

Jakie zabezpieczenia ma dowód osobisty? Jak wygląda paszport w świetle UV?⠀
Możesz to łatwo sprawdzić w Rejestrze Dokumentów Publicznych.

Więcej ciekawostek na moim Instagramie i YouTube.

Jeżeli chcesz być wołany do podobnych materiałów - zaplusuj pierwszy komentarz.

#od0dopentestera #bezpieczenstwo #polska #technologia #informatyka

Wiesz, że Google Grafika pozwala na wyszukiwanie twarzy? #od0dopentestera
Ta funkcja jest ukryta. Znajdziesz ją w ustawieniach zaawansowanych w opcji typ obrazu: twarz.

* Podobną funkcję ma też Yandex
* Microsoft Face Verification (zakładka Face verification) pomaga ustalić, czy na dwóch różnych zdjęciach znajduje się ta sama osoba
* Swojej twarzy możesz poszukać w PimEyes
* Face-Depixelizer próbuje odtworzyć rozmazane zdjęcia twarzy
* A jeżeli używaszPokaż całość

Wiesz co to YubiKey i jak go używać? #od0dopentestera
Standardowe kody 2FA nie chronią przed phishingiem.
Dlaczego? Jeśli wygenerowany w telefonie kod przekażesz atakującemu, który zna Twój login i hasło do serwisu – będzie mógł się do niego zalogować jako TY.
Dużo lepszym rozwiązaniem jest U2F.
Brzmi skomplikowanie? A korzystanie z takiego klucza jest banalnie proste.
Logujesz się do serwisu, wkładasz klucz do portu USB, dotykasz guzik i jużPokaż całość

SQL Injection pozwala na wykonanie zapytania do bazy danych - ale jest ono inne niż to, które napisał programista. #od0dopentestera
Zamiast wyświetlać faktury tylko dla swojego konta - możemy zobaczyć dane innych klientów.
Popatrzmy na przykład:

SELECT * FROM faktury WHERE id = 123
Przy pomocy takiego zapytania pobierasz fakturę o identyfikatorze 123.
123 to dane podane przez użytkownika - na przykład poprzez formularz.
Jeżeli programista wkleja te dane bezpośrednio doPokaż całość

Słyszałeś o Content Security Policy? W prostych słowach to: „ostatnia linia obrony przed atakami XSS”.
Informujemy przeglądarkę jakie zasoby może wyświetlić.
Jednak prawidłowe skonfigurowanie CSP nie jest takie proste:
• Unikaj unsafe-inline
• Podczas ładowania skryptów skorzystaj z nonce-losowa_wartość
• Jeżeli używasz eventów onlick spróbuj je przepisać na addEventListener('click', function(){});
• Zezwalasz na pliki JS z serwera CDN? Uważaj na obejścia przy pomocy endpointów JSONP
• Możesz kontrolować nie tylkoPokaż całość

Jakie informacje można znaleźć w Internecie? #od0dopentestera
* Sprawozdania finansowe spółek
* Dane o działkach
* Listę reklam wyświetlanych przez firmy na Facebooku
* Zdjęcia twarzy typ obrazu: twarz
* Numery telefonów
* Dane dotyczące cen nieruchomości określonych w aktach notarialnych
* Jakie urządzenia emitują fale radiowe
* Listę dotacji UE
* Czy osoba korzystająca z konkretnego emaila posiada konto na LinkedIn
* Oświadczenia majątkowe niektórych osób pełniących funkcje publiczne

Zbiór innych,Pokaż całość

Metadane to dane o danych. Najprościej wytłumaczyć to na przykładach. #od0dopentestera
Dzwoniłeś na numer 0 700. Nie wiadomo o czym rozmawiałeś. Ale można się tego domyślić.
* Na podstawie popularności tras w serwisie dla biegaczy można było odgadnąć lokalizację tajnych baz wojskowych.
* Jeżeli przeglądasz obrazki w eksploratorze, Windows automatycznie tworzy ich miniaturki i zapisuje je w plikach thumbcache. Nawet jeżeli usuniesz plik z dysku – możnaPokaż całość

Korzystasz z przeglądarki Chrome? Zauważyłeś, że od czasu do czasu Twój komputer próbuje się łączyć z dziwnymi domenami?
Domeny te składają się z samych liter i są różnej długości – od 7 do 15 znaków?
Obawiasz się, że na Twoim komputerze znajduje się złośliwe oprogramowanie?
Mam dobrą wiadomość. Nic się nie dzieje, to standardowe zachowanie przeglądarki.
Ale dlaczego wykonuje ona takie dziwne operacje? #od0dopentestera

Omnibox to pasek, w którym możemy podać dokładnyPokaż całość

Na świecie istnieje kilkanaście osób, które posiadają „klucz do Internetu”. #od0dopentestera
I nie chodzi tu o żadne fizyczne klucze, a o dostęp do klucza prywatnego używanego w DNSSEC.
Całość jest przechowywana w specjalnym urządzeniu HSM.
Chodzi o to, aby nikt nie mógł bezpośrednio skopiować tego klucza.
Raz na kilkanaście miesięcy kilka osób z całego świata spotyka się na specjalnej ceremonii – w jednym z dwóch fizycznie oddalonych od siebiePokaż całość

Jak dawni szpiedzy transportowali duże ilości tajnych dokumentów bez obaw o wykrycie? #od0dopentestera
Używali mikrokropek. Mikrokropka to miniaturowa fotografia o średnicy 1 mm wykonana przez specjalne urządzenie będące połączeniem aparatu i mikroskopu.
Taki mikropunkt możesz zrobić sam w domu. Potrzebujesz analogowego aparatu, kliszy, kawałka kartonu, nożyczek oraz cierpliwości.
Skorzystamy z metody Brytyjskiej.
1. Zapisaną kartkę A4 kładziemy na podłodze. Następnie wykonujemy kilka zdjęć próbując objąć cały tekst w wizjerze.Pokaż całość