Profil: @opermajki - Znaleziska (komentowane)

Passwordless i drugi faktor autentykacji nie chronią przed phishingiem

Wielu przeciętnych zjadaczy chleba, ale i grono specjalistów od bezpieczeństwa ma błędne przekonanie, że zabezpieczenie konta przez drugi faktor autentykacji w postaci kodu sms, tokenu z aplikacji czy też metody „passwordless” ( chroni przed atakami phishingowymi.

z dodany: 12.11.2022, 19:20:59

opermajki

opermajki 12.11.2022, 20:53:23

-6

@faxepl: Dziękuję, poprawiłem.

opermajki

opermajki 12.11.2022, 20:59:57

-1

@GOOF1: Owszem robią to. Niemniej nadal możesz zostać skuszony do zalogowania się na fałszywej stronie, a samo przechowywanie haseł w przeglądarce nie należy do najlepszych praktyk bezpieczeństwa.

Łamanie PDFa z hasłem w kilka sekund - PZU i ich iluzoryczna ochrona.

Iluzja bezpieczeństwa jest gorsza od świadomości o jego braku. 1. PZU przesyła PDF "chroniąc go" hasłem 4 cyfrowym. Łamanie tego typu hasła na komputerze domowym trwa 10 sekund. 2. NN IP przesyła PDF "chroniąc go" numer PESEL. Łamanie tego typu hasła na komputerze domowym trwa 64 sekundy.

z dodany: 11.03.2022, 13:53:25

opermajki

opermajki 11.03.2022, 17:43:21

2

@bacanahali: To jest prawidłowe podejście.

opermajki

opermajki 12.03.2022, 15:35:45

0

@ja-to-jestem: Nie musi być od razu 25. 12 wystarczy przesłanych sms-em. Albo tak jak w mbanku szyfrowanie własnym predefiniowanym hasłem. Dobrych rozwiązań jest naprawdę wiele. To, co jest stosowane teraz to tylko iluzja i już lepszym rozwiązaniem jest nieszyfrowanie takich plików wcale niż wciskanie kitu "chronimy dane osobowe".

nie)Bezpieczeństwo kamer IP

Niedawno w moje ręce wpadła tania chińska kamera IP. Jako że lubię wiedzieć jak dany sprzęt działa, trafiła ona na mój bezpiecznikowy warsztat. Rezultaty poniżej Co na portach piszczy Szybkie skanowanie nmap-em urządzenia wskazało kilka otwartych portów: Port 80 : Tutaj znajduje się...

z dodany: 09.04.2021, 17:28:27

opermajki

opermajki 09.04.2021, 21:10:49

70

@dziabonq: Wysoce prawdopodobny scenariusz. Pytanie po co montować monitoring w środku mieszkania? Niemniej, szkoda chłopa. Mam nadzieję, że złapią złodziei lub chociaż był ubezpieczony.

opermajki

opermajki 09.04.2021, 21:12:36

6

@Fasolek: To powinna być już rola producenta danej kamery - tylko w przypadku taniego sprzętu na czymś trzeba uciąć koszty. W tym przypadku supportu i tym samym bezpieczeństwa brak (╯︵╰,)

opermajki

opermajki 09.04.2021, 21:22:00

1

@senseiek: Trafna uwaga. W przypadku "wyciekniętych" kamer myślę, że dzieje się to z automatu, chociażby przez mechanizm "port triggering".

opermajki

opermajki 10.04.2021, 08:06:11

1

@dzek: Może posiada też dodatkowe ficzery jak parzenie kawy ( ͡° ͜ʖ ͡°)

opermajki

opermajki 10.04.2021, 08:07:39

4

@Kargaroth: Miałem pod ręką i chciałem zbadać dlaczego te kamery stają się publiczne.

opermajki

opermajki 10.04.2021, 12:02:19

2

@PotwornyKogut: Podczas konfiguracji przez apkę w telefonie łączysz kamerę z domową siecią wifi. Instrukcja mówi jak to zrobić. Więc laik powinien sobie poradzić. Kamera pobiera sobie adres po DHCP z routera. Router ma włączoną usługę UPnP/port triggering i kamera ląduje na publicznym adresie.

Przykładowy raport z rzeczywistego testu penetracyjnego

Cześć Mirabelki i Mirki, Jakiś czas temu udostępniłem mój raport z pentestu, który miałem okazję wykonać w ramach pracy magisterskiej. Jako, że prawdziwe raporty z testów penetracyjnych w naszym ojczystym języku są towarem deficytowym może ktoś być takim materiałem zainteresowany.

z dodany: 13.02.2019, 12:32:29

opermajki

opermajki 13.02.2019, 13:14:14

1

@tetraedr: ograniczony budżet (0zł) i nie starczyło już na modelowanie ryzyka (╯︵╰,)

opermajki

opermajki 16.02.2019, 19:33:55

0

@pies_harry: Nie podchodziłbym do tego, aż w tak krytyczny sposób. Wszak błędy są wszędzie, nawet w projektach gdzie dosyć sprawnie zapięty jest cały proces SSDLC, a jeżeli ktoś decyduje się na testy bezpieczeństwa to chwała mu za to.

opermajki

opermajki 16.02.2019, 19:39:10

0

@czarna_sraczka: Prędzej to pierwsze (jak w artukule https://sekurak.pl/zglosil-podatnosci-operatorowi-telekomunikacyjnemu-teraz-grozi-mu-8-lat-wiezienia) z tym, że od kwietnia zeszłego roku wprowadzono zmiany w w art. 269b - "§ 1a. Nie popełnia przestępstwa określonego w §1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia."