#security - strona 352

Wszystko

Wszystkie

Archiwum

02.01.2016, 18:15:40

Okey. Przekonałem się do Let's Encrypt i podpiąłem go pod kilka domen.
Pierwsze wrażenie? Bardzo pozytywne. Instalacja banalnie prosta i szybka. Na serwerze mam Veste więc w terminalu jedno polecenie, resztę wprowadzam przez panel. Kłódeczka jest - wzrasta wiarygodność.

Jak na razie mogę polecić. W każdym bądź razie do małych stron gdzie SSL ma tylko podnieść wiarygodność. W bezpieczeństwo jakoś nie wierzę ( ͡° ʖ̯ ͡°)

#technologia #

elirath

02.01.2016, 19:13:12

@Shirako:

W bezpieczeństwo jakoś nie wierzę ( ͡° ʖ̯ ͡°)

Nie wierzysz w bezpieczeństwo mechanizmu odnawiającego certyfikat, certyfikatów z letsencrypt, czegoś innego?

Certyfikat z letsencrypt są tak samo "bezpieczne" jak każde inne. Nawet bezpieczniejsze niż np. generowanie certyfikatu "w przeglądarce" u niektórych dostawców. Klucz jest generowany na Twoim serwerze, do letsencrypt leci tylko csr. U innych dostawców często domyślną opcją jest wygenerowanie klucza u dostawcy i wysłanie

Moonman

KrotkiLogin

01.01.2016, 20:21:34

Aktualizujcie koniecznie swoje Joomle, ponieważ niedawno wykryto 0-day dzięki któremu w banalny sposób możliwe jest zdalne wykonanie kodu. Mnóstwo stron zostało zainfekowanych.

https://blog.sucuri.net/2015/12/remote-command-execution-vulnerability-in-joomla.html
#bezpieczenstwo #it #web #security

aquaz

01.01.2016, 20:25:02

Cieszę się, że nie używam - mnie się wydaje, czy oni często gęsto mają takie krytyczne wtopy?

KrotkiLogin

01.01.2016, 20:31:29

@aquaz: Joomla to taki kolos że oni już sami chyba nie panują nad tym. Ale fakt, ciągle wychodzą jakieś poważniejsze luki, więc osobiście to był ostatni raz kiedy cokolwiek stawiałem na tym CMSie.

Kiedy w końcu pożegnamy hasła?

„Hasło musi zawierać co najmniej 8 znaków w tym jedną dużą literę, jeden znak specjalny i jedną cyfrę” – tę formułkę zna dobrze każdy, kto korzysta aktywnie z różnych sieciowych usług. Hasła są coraz trudniejsze do zapamiętania i przez to coraz bardziej zawodne jako klucz do cennych informacji.

z dodany: 01.01.2016, 14:56:50

Social Engineering 2—What Do We Have To Watch?

In my previous article we focused on providing an introduction to social engineering. For the purposes of this article, I want readers to consider the words of Albert Einstein to be their mantra: “Only two things are infinite – the universe and human stupidity, and I’m not sure about the...

z dodany: 01.01.2016, 13:38:32

skradzionyLogin

30.12.2015, 21:15:10

Naprawdę dobry talk, koleś nieźle przygotowany do zadania i stworzyli bardzo ciekawy projekt.

https://media.ccc.de/v/32c3-7340-collect_it_all_open_source_intelligence_osint_for_everyone#download

#security #wikileaks #ccc #nsa #prywatnosc #opensource

niebezpiecznik-pl

30.12.2015, 14:20:37

Mirki, popatrzcie jak od lutego chcą was inwigilować służby - czyli nowa ustawa o bagietach autorstwa PiS-u.

http://niebezpiecznik.pl/post/nowelizacja-ustawy-o-policji-i-kontrowersje-w-sprawie-wprowadzanych-zmian/

#inwigilacja #prywatnosc #bezpieczenstwo #security #polska #internet

biczek

30.12.2015, 17:18:23

@aquaz: Wiem co robil echelon. Co do ciekawych czasów racja (chociaż to było chińskie przekleństwo). Niestety rozwój technologii pozwala władzy na coraz większą inwigilację co kusi. Widać to po GB gdzie w imię walki z pornografią blokuje się strony. Możliwości jest wiele.
A sam kucuje dla firmy która niecne praktyki wykorzystuje dla "dobra ogółu" i znam temat od prawie że od środka.

rafikl

aquaz

31.12.2015, 11:11:31

@Szarlejowiec: korzystam z podobnego rozwiązania, ale raczej w celu ochrony prywatności "lokalnie" (współdzielone WiFi, etc). Jeżeli służby będą coś do Ciebie miały takie rozwiązanie niewiele pomoże. We współpracy z zagranicznymi służbami będą dalej próbowali dochodzić twojego ruchu - to oczywiste.

konto usunięte

airdong

29.12.2015, 20:11:29

#hackingnews

O co chodzi? - http://pokazywarka.pl/hackingnews/

—————————————————————————

1. Mnóstwo zadań typu ReverseMe (czyli w postaci plików, które należy przeanalizować i znaleźć rozwiązanie). Strona stara jak świat, ale nadal pojawiają się nowe zadania. :)
http://crackmes.de

2. Kolejna strona dla osób chcących poćwiczyć RE. Tym razem do ściągnięcia jest paczka .zip z zadaniami i potrzebnym oprogramowaniem (IDA Pro).
http://www.binary-auditing.com

3. Notatki wykładowcy z Uniwersytetu Technologicznego Nanyang w Singapurze, które służą mu

airdong - #hackingnews

O co chodzi? - http://pokazywarka.pl/hackingnews/

——————... — **źródło:** comment_WbCsdGKtVsp9Z8OrsLxjnJRCNtrTxxt1.jpg

@airdong: Przyda się

Macie AVG? Lepiej usuńcie wtyczkę z przeglądarki.

http://www.wykop.pl/link/2932645/uwaga-na-antywirusa-avg-oraz-jego-wtyczke-do-chrome/

#mikroreklama #bezpieczenstwo #security

D.....a

konto usunięte 29.12.2015, 11:31:06

Komentarz usunięty przez moderatora

EnderWiggin

29.12.2015, 11:48:10 via Android

Dokładnie... AVG ssie. Tylko NOD albo Malwarebyte.

Quaron

29.12.2015, 10:28:26

Kilkanaście lat temu założyłem sobie skrzynkę pocztową z domeną os.pl (strona free.os.pl). Na początku używałem jej do allegro a później jak już miałem gmaila to praktycznie tylko do rejestracji na różnych stronkach, żeby nie śmiecić sobie głównej skrzynki.
W tym roku zauważyłem, że na tej poczcie zaczęły pojawiać się wiadomości o niedostarczonych mailach.
Przykład:

Domyśliłem się, że ktoś włamał się na tą skrzynkę i rozsyła spam. Zmieniłem więc hasło i dodałem w

pcstud

29.12.2015, 10:39:52

@Quaron: nikt nie rozsyła z twojej skrzynki spamu, a jedynie wykorzystuje twój adres jako zwrotny (aby ogłupić filtry)

niebezpiecznik-pl

30.12.2015, 08:22:40

@Quaron: tzw. joe job https://en.wikipedia.org/wiki/Joe_job

Quaron

freerunner9

28.12.2015, 13:07:57

Mirki,
Znacie jakieś inne serwisy niż startssl, które oferują darmowe certyfikaty SSL?

#bezpieczenstwo #linux #sysadmin #security

Cronox

besiege

28.12.2015, 13:08:53

@freerunner9: https://letsencrypt.org/

freerunner9

28.12.2015, 15:56:38 via iOS

@progressbar: pisząc o startssl jako przykładowym dostawcy to moja potrzeba została wystarczajaco wyklarowana, co więcej na dowód tego jest odpowiedz @besiege który w 3 minuty udzielił dokładniej takiej odpowiedzi jakiej potrzebowałem. LogikaNazzi ;)

niebezpiecznik-pl

28.12.2015, 11:15:08

Macie fitness trackery lub inteligentne zegarki? Nie korzystajcie z tych rąk do wprowadzania PIN-ów.

http://niebezpiecznik.pl/post/szpiegowanie-przy-pomocy-smartwatcha-i-innych-fitness-trackerow/

#smartwatch #security #bezpieczenstwo #niebezpiecznik

konto usunięte
konto usunięte
Cronox

surma

28.12.2015, 10:21:52

Ciekawy phishing. Linki w mailu prowadzą do:

hxxp://lamola.dk/wp-content/themes/twentytwelve/sprt/index.php
Gdyby nie literówka w tytule, pewnie sam bym kliknął :>
#it #security #phishing

surma - Ciekawy phishing. Linki w mailu prowadzą do:

hxxp://lamola.dk/wp-content/t... — **źródło:** comment_PtRD7E1kQYdNUWlmyuBLipuabAjdAklM.jpg

S.....c

konto usunięte 28.12.2015, 10:55:21

@surma: nie zaintrygował cię brak polskich znaków w standardowej templatce allegro?

konto usunięte

xxxxx440

28.12.2015, 16:14:41

Wchodził ktos w link?

czubaba

28.12.2015, 09:34:05

#technologia #bezpieczenstwo #hacking #informatyka #security #mirkoreklama
http://www.wykop.pl/link/2930669/niemieccy-hakerzy-ujawnia-sposob-na-odczytanie-pinu-karty-z-terminala/

Niemieccy hakerzy ujawnią sposób na odczytanie PINu karty z terminala

Wystarczy być podłączonym do tej samej sieci.

z dodany: 28.12.2015, 09:29:27

EstradaOrNada

28.12.2015, 09:06:05

Mirki z #android da się jakoś obejść rysowany kod blokujący telefon? #security

Cronox

ubermirek

28.12.2015, 09:07:35 via Android

@EstradaOrNada: #januszekradziezy (⌐ ͡■ ͜ʖ ͡■)

fortySeven

niebezpiecznik-pl

28.12.2015, 11:16:19

@EstradaOrNada: http://niebezpiecznik.pl/post/5-sposobow-na-obejscie-blokady-ekranu-w-androdzie/

fortySeven

Dalamar

27.12.2015, 23:19:02

UWAGA TAKIEJ WTOPY JESZCZE NIE BYŁO
Wyciekła baza danych kodów PIN do wszystkich kart płatniczych na świecie! Zablokujcie swoje karty zanim ktoś je zdąży wykorzystać!

Źródło

#security #banki #bankowosc #hacking

jednakwiecejniz14sekund

27.12.2015, 23:20:19

@Dalamar: legitne w hój

piotrstrzalka

27.12.2015, 23:32:42

@Dalamar: znajac zasobnosc mojego konta i jakie kwoty przez nie przechodza nawet sie nie przejalem xD

konto usunięte
Boskyy

niebezpiecznik-pl

27.12.2015, 20:38:23

No to sobie dziś nie pośpicie, (Mirki|Mirabelki)... Oto regexowa krzyżówka! Do boju! :)

https://regexcrossword.com/

#programowanie #security #bezpieczenstwo #niebezpiecznik

rbielawski

27.12.2015, 20:43:00

@niebezpiecznik-pl: NIE KUŚ SZATANIE

niebezpiecznik-pl

niebezpiecznik-pl

27.12.2015, 20:43:17

@GlenPL: A to sorry. Wczoraj to nam bigos z sernikiem wszystko przesłaniał. Daj linka poczytamy backloga.

grajlord

26.12.2015, 23:47:20

W skali 0-10 jak głupim pomysłem jest zmiana portu ssh na taki z zakresu dynamicznych (>49k) i czy niesie za sobą jakieś niebezpieczeństwo np. konfliktu portów (jest w ogóle coś takiego)? Czy można zabronić systemowi przydzielania dynamicznie danego portu?

Wiem, że "security through obscurity" to gówno, ale to nie ma być forma zabezpieczenia. Ponadto na sprzęcie nie ma kont użytkownika innych niż root, więc nikt mi sniffującego skryptu na nieuprzywilejowany port nie

robert_kubica_OFICIAL_CZANEL

26.12.2015, 23:49:00

Komentarz usunięty przez moderatora

grajlord

26.12.2015, 23:52:13

@robert_kubica_OFICIAL_CZANEL: ładna, bez nadżerek
@MrOsamaful: Mam nadzieję, że nie przyczepi, bo to będzie ruch wychodzący. Inna ewentualność, to wykorzystanie któregoś z zarejestrowanych portów, np. iTunes ( ͡° ͜ʖ ͡°)

ninetyeight

n.....n

konto usunięte 26.12.2015, 22:01:42

Czy praca jako #pentester to w większości testowanie czy aplikacje itd. są podatne na ogólnie znane błędy bezpieczeństwa wcześniej gdzieś opisane czy może to w większości przypadków dużo bardziej kreatywne zajęcie tylko dla ludzi z ponadprzeciętną inteligencją?

#hacking #bezpieczenstwo #pentesting #security #niebezpiecznik #zaufanatrzeciastrona @Gynvael @niebezpiecznik-pl @ZaufanaTrzeciaStrona

niebezpiecznik-pl

26.12.2015, 22:09:12 via iOS

To zalezy :-) scislych ram nie ma (przynajmniej u nas). Choc glownie sa to pentesty aplikacji webowych na dzien dzisiejszy, to w ramach pentestow realizujemy takze audyty kodu zrodlowego (reczne inautomatyczne), testy sieciowe (zarowno zewnetrzne jak i wewnetrzne polaczone z analiza konfiguracji i "hardeningiem"), ataki socjotechniczne (zupelnie inny zestaw umiejetnosci jest tu kluczowy) oraz testy wydajnosciowe (czyt. Ataki DDoS). Czesto w ramach wyzej wymionionych natrafiamy na jakis "problem"/anomalie, gdzie trzeba do umiejetnosci

Gynvael

26.12.2015, 22:33:33

Przydało by się, żeby wypowiedział się ktoś, kto faktycznie pentestami zajmuje się na co dzień. Coś tam postaram się napisać, natomiast od kilku lat pentesty robię sporadycznie (siedzę raczej w security research / bug hunt).
EDIT: Widzę, że @niebezpiecznik-pl też napisał - good :)

Ad meritum:
Generalnie dużo zależy od konkretnego klienta/zlecenia, przy czym mam wrażenie, że w większości przypadków najważniejszym wymaganiem jest solidna wiedza z najpopularniejszych klas błędów w danej technologi,