#security - strona 51

Wszystko

Najnowsze

Archiwum

konto usunięte 15.12.2021, 12:12:57

Moim głównym kontem pocztowym jest gmail. Pod niego mam podpięty mail z wp.pl (nie chcę usuwać), czyli gmail pobiera mi pocztę z wp i przez gmail odpowiadam na maile przez serwery pocztowe wp.

Zabezpieczyłem ostatnio konto wp weryfikacją dwuetapową za pomocą kodu. Mogę się tak logować tylko przez www. Jeśli nadal chcę używać programu pocztowego (wysyłać z gmaila), to muszę użyć hasła (screen), ale wtedy brakuje uwierzytelnienia dwuskładnikowego. Da się coś robić,

L.....v - Moim głównym kontem pocztowym jest gmail. Pod niego mam podpięty mail z wp.... — **źródło:** comment_1639570056Rq116PzVCAP36Kl1npSW7j.jpg
Pobierz

tfbeen

15.12.2021, 18:35:12 via iOS

@Lixerv: W poczcie wp generujesz jednorazowe, unikalne hasło dla aplikacji, po co Ci kod 2fa?

L.....v

konto usunięte 15.12.2021, 19:26:19

@tfbeen: po co mi kod 2fa w webmailu wp?

KacperSzurek

14.12.2021, 08:49:16

O co chodzi z podatnością "log4j"? #od0dopentestera
Szybkie wyjaśnienie dla osób nietechnicznych.

1. Log4j to bardzo popularna biblioteka używana w aplikacjach stworzonych w języku Java.
Służy ona do zapisywania logów z działania programu.
Log to chronologiczny zapis tego co dzieje się w

KacperSzurek

14.12.2021, 11:56:16

@diablik: Wydaje mi się, że opinia: "nie jest na 100% skuteczne" wynika z tego, że nigdy nie wiadomo czy aby inny komponent systemu (gdzieś po drodze) nie korzysta czasem z log4j.
Co z tego, że my załatamy swoją aplikację - jeśli jakiś inny komponent tego nie zrobi ;)

globalbus

14.12.2021, 12:09:48

@KacperSzurek: w swojej aplikacji masz kontrolę nad tym, co trafi do wynikowego jara. Problemem są np. aplikacje, które odpalają inne komponenty "gdzieś obok". Kolejki, indeksowanie itd.
Przykład - bitbucket jako taki nie ma log4j2, ale odpala sobie obok elasticsearch do indeksowania repozytoriów. A ten elasticsearch ma log4j2 w podatnej wersji.

Dość absurdalnie wygląda to w kubernetes, gdzie środowiska OKD/Openshift mają poinstalowany stos ELK do przechowywania logów. Także można przesłać ten

M.....T

konto usunięte 13.12.2021, 20:28:28

CBA dostało zakaz używania Pegasusa. Co teraz? - [Niebezpiecznik]
O utracie dostępu do Pegasusa przez CBA, przełamywaniu zabezpieczeń certyfikatów covidowych i cyberprzestępczych sądach, które rozstrzygają spory między oszustami.

#security #ciekawostki #cba #pegasus #cyberbezpieczenstwo #hacking #niebezpiecznik

M.....T - CBA dostało zakaz używania Pegasusa. Co teraz? - [Niebezpiecznik]
O utraci...

Porgam

13.12.2021, 20:47:23

Komentarz usunięty przez moderatora

EastWestEast

13.12.2021, 21:22:01

Komentarz usunięty przez autora

CERT Polska ostrzega przed cyberatakami. "Wykryto krytyczną podatność"

CERT Polska poinformował, że obserwuje coraz więcej prób ataków na strony napisane w języku Java, które korzystają z biblioteki Apache Log4j. "Wykryto krytyczną podatność pozwalającą na zdalne wykonanie kodu z uprawnieniami danej aplikacji".

z dodany: 13.12.2021, 07:30:10

handler

12.12.2021, 20:16:11

Pamiętacie sytuacje dziewczynki, której wyskakiwały reklamy rzeczy dla kobiet w ciąży, jej ojciec podał te firmę do sądu, a ona jednak była w ciąży, bo algorytm się nie mylił? #security #pytanie

Nikczemny

12.12.2021, 21:44:11

@handler: https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/

handler

13.12.2021, 21:15:12 via iOS

@Nikczemny: Tak to jest to! Dziękuje <3

Serious Log4j Security Flaw Puts The Entire Internet At Risk, Even iCloud...

A bug in Java logging software included in almost every web-facing app offers remote code execution with admin privileges. W skrócie - internet w ogniu

z dodany: 12.12.2021, 00:02:32

v.....i

konto usunięte 11.12.2021, 19:53:47

ktoś kto to stworzył ma 0iq
#security #lotto #bezpieczenstwo

v.....i

konto usunięte 11.12.2021, 19:57:02

@MaxVerstapen: bo ograniczają siłę hasła niepotrzebnie, tak jakby im to przeszkadzało że chce miec haslo którego nie da się scrackować

v.....i

konto usunięte 11.12.2021, 20:06:03

a tak serio to hasło ma być łatwe do zapamiętania

@MaxVerstapen: ja uzywam menedzera hasel i sam nie znam ani jednego ze swoich 200 hasel ( ͡° ͜ʖ ͡°)

Najbardziej krytyczna luka ostatniej dekady jest “fully weaponized”.

Krytyczna luka w powszechnie stosowanym oprogramowaniu - wykorzystana w grze online Minecraft - szybko staje się poważnym zagrożeniem dla organizacji na całym świecie. Log4Shell zapewnia łatwy dostęp do sieci wewnętrznych, czyniąc je podatnymi na kradzież i utratę danych. [ENG]

z dodany: 11.12.2021, 13:46:37

sekurak

10.12.2021, 15:59:22

Podatność w serwerach (i klientach) Minecraft – przez wpisanie exploita na chacie można przejąć serwer oraz innych graczy ;-/

aka tylko demonstracja możliwości najnowszej podatności w log4j, CVE-2021-44228

https://sekurak.pl/podatnosc-w-serwerach-minecraft-wpisujesz-exploita-na-chacie-i-przejmujesz-serwer-oraz-innych-graczy-log4j-cve-2021-44228/

#sekurak #minecraft #bezpieczenstwo #java #programowanie #security

sekurak - Podatność w serwerach (i klientach) Minecraft – przez wpisanie exploita na ... — **źródło:** comment_1639151906RcVxbUUk7l8p9pIkK9d6my.jpg
Pobierz

Whipie

10.12.2021, 20:20:55

@lovox: Podatna jest biblioteka więc wystarczy wykonywać analizę komponentów. Czyli generujesz SBOMy i ładujesz je do odpowiedniego narzędzia, np. https://dependencytrack.org/. Z tego co widzę CVE nie ma jeszcze ustawionych CPE więc alertu byś nie dostał. Natomiast narzędzie agreguje wszystkie użycia biblioteki więc wystarczyłoby wpisać "log4j" w wyszukiwarce i miałbyś listę podatnych projektów.

Manah

10.12.2021, 21:56:52

@sekurak: Dlaczego w 2021 ważna biblioteka zaniedbuje sanityzację inputów? Przecież ten exploit jest dość durny.

ZaufanaTrzeciaStrona

10.12.2021, 09:37:00

Całkiem sprytna sztuczka. Sprzedajesz komputer, kupujący prosi o benchmarka. Uruchamiasz benchmarka a twój komputer zaczyna kopać Monero - ale nie dla ciebie.

https://www.wykop.pl/link/6405011/sprzedajesz-komputer-uwazaj-na-ten-nowy-nietypowy-rodzaj-ataku/

#zaufanatrzeciastrona. #bezpieczenstwo #security

ZaufanaTrzeciaStrona

10.12.2021, 09:48:15

@oslet: Też sądzę, że się na tym autor ataku nie dorobił, ale wektor infekcji wymyślił całkiem sprytnie. Nie będę podpowiadał, co mógł poprawić w samym payloadzie ;)
/Adam

Bordomir

10.12.2021, 13:28:47 via Android

@oslet
@ZaufanaTrzeciaStrona a może to jest tak naprawdę targetowany atak? Urząd skarbowy sprawdza czy osoby kupujące laptopy o znacznej wartości grzecznie odprowadzają podatek. Sprawdziliście czy to na pewno tylko kopie (;?

sekurak

10.12.2021, 07:42:07

Krytyczna podatność w bibliotece log4j – łatajcie, bo zaczęło się masowe exploitowanie.

Wg relacji podatne są również (oczywiście) biblioteki czy rozwiązania wykorzystujące Apache log4j (mowa jest m.in. o Steam, iCloud czy serwerach Minecraft).

https://sekurak.pl/krytyczna-podatnosc-w-log4j-latajcie-bo-zaczelo-sie-masowe-exploitowanie/

#programowanie #bezpieczenstwo #java #sekurak #security

sekurak - Krytyczna podatność w bibliotece log4j – łatajcie, bo zaczęło się masowe ex... — **źródło:** comment_1639122082K5NIwxEeWLib2lS1n7Jh4C.jpg
Pobierz

o.....6

konto usunięte 10.12.2021, 07:44:45

@sekurak: exploit w javie? Nowe, nie znałem.

j.....6

konto usunięte 10.12.2021, 08:09:13

@sekurak: tak to jest niestety teraz, u mnie podobnie, deadline z góry ustalony, w Sprincie w 2 tygodnie się upcha daną funkcjonalność, bądźmy Agile

Sprzedajesz komputer – uważaj na ten nowy, nietypowy rodzaj ataku

Wojtek otrzymał wiadomość w serwisie Allegro Lokalnie od niezarejestrowanego użytkownika. Oto jej zrzut ekranu i wersja tekstowa: "...Czy można by było wysłać raport z chociaż 5 minutowego testu CPU + MEMORY + 3D + VRAM programem OCCT PRO? Raport generuje się jako obraz po kliknięciu ikony..."

z dodany: 10.12.2021, 04:28:05

Inveth

09.12.2021, 11:31:38

#it #security #bezpieczenstwo #siecikomputerowe

Siemka - co na dzień dzisiejszy można polecić jako dobre zabezpieczenie dwuskładnikowe? Głównie chodzi o zabezpieczenie dostępu do poczty/hostingu/serwisów - super jakby miało NFC (do użycia z telefonem)

Z tego co się wstępnie rozglądałem najsensowniejszy wydaje się być YubiKey 5 NFC - ale być może jest coś lepszego?
Korzysta ktoś z jednego YubiKey 5 NFC i zapasowego nano

Inveth - #it #security #bezpieczenstwo #siecikomputerowe

Siemka - co na dzień dzis... — **źródło:** comment_1639049497DplxjdkJEVfsUwEd85z2nV.jpg
Pobierz

sq4ind

09.12.2021, 11:37:01

@Inveth: polecam yubikey... uzywam wlasnie ten model z obrazka, jedyny problem to AWS nie wspiera safari na MacOS, a tak bez problemu dziala.

juniordev

09.12.2021, 11:45:15

@Inveth: mozna

k.....x

konto usunięte 08.12.2021, 09:12:06

Tor’s system of proxy servers in Russia had partly stopped working at around 5:21pm Moscow time on December 2.
//
#tor #internet #bezpieczenstwo #security #siecikomputerowe #sieci #programista15k

k.....x

konto usunięte 08.12.2021, 09:38:07

@wytrzzeszcz: nie poczułeś się teraz jak Dolas (Rany Julek! Ale nawarzyłem bigosu!) w czołówce "Jak rozpętałem ..."?
//

wytrzzeszcz

08.12.2021, 09:39:59

@kjjbox: lekko

Quantum Origin zapewni światu szyfrowanie z wykorzystaniem technologii kwantowej

Firma Quantinuum ogłosiła powstanie i ruszenie ze sprzedażą Quantum Origin. To pierwszy na świecie generator kluczy, który umożliwia szyfrowanie z wykorzystaniem technologii kwantowej. Ma on na celu zapewnić klientom algorytmy szyfrowania oparte na obliczeniach kwantowych.

z dodany: 08.12.2021, 07:10:48

Showroute_pl

07.12.2021, 12:16:06

#netprasowka 49/21

I teraz Netprasówki.

1. Już wiele razy pojawiał się temat rozkładu ruchu w czasie, który był związany z ograniczeniami w poruszaniu się i pracy. Tym razem mamy uczniów i szkoły. Jak wygląda ruch w mobilny, gdy uczniowie wracają do szkoły. Wzrasta, czy maleje?

Link

Showroute_pl - #netprasowka 49/21

I teraz Netprasówki.

1. Już wiele razy poj... — **źródło:** comment_1638879354JToA4b7zg58Gfc9tmYKSw6.jpg
Pobierz

Szwajcarska firma Mitto AG śledziła telefony wybranych osób na zlecenie rządu.

Według agencji Bloomberga, która przeprowadziła wraz z Biurem Dziennikarstwa Śledczego z Londynu swoje własne dochodzenie, współzałożyciel i prezes Mitto Ilja Gorelik sprzedawał w tajemnicy dostęp do sieci swojej spółki rządom chcącym inwigilować konkretne osoby za pomocą ich telefonów komórkowych.

z dodany: 07.12.2021, 07:09:25

Aktywiści zakłócili Szczyt Cyfrowy ONZ

Działacze zakłócili tegoroczny Szczyt Cyfrowy ONZ – IGF, odbywający się w Katowicach. Podczas „globalnej dyskusji o rozwoju internetu”, jak organizatorzy nazywają wydarzenie, przypomnieli o masowej inwigilacji użytkowników sieci oraz o pracownikach platformowych (typu dostawcy w Glovo czy Uberze).

z dodany: 06.12.2021, 19:17:58

marcel009_

06.12.2021, 09:19:25

Polecacie jakieś blogi/książki/kanały na yt dotyczące bezpieczeństwa sieci?
#siecikomputerowe #bezpieczenstwo #security

d.....r

konto usunięte 06.12.2021, 17:53:02

@marcel009_: mnóstwo. zacznij od ścieżki design od Cisco. Stare CCDA/CCDP. Później CISSP. To są takie podstawy. Stara ścieżka CCNA Security IMHO jest the best

j38acpls

03.12.2021, 20:33:04

Apropos #afera z #telefony #siecikomorkowe #play itd. - Nie zauważyliście jakichś dziwnych akcji wczoraj i dziś z telefonami, że np ktoś znajomy do was dzwonił, a jak odebraliście to on też zdziwiony bo jemu się wyświetliło że to my dzwoniliśmy, albo inna akcja że ogólnie niektóre numery się pousuwały z książki telefonicznej?

Mi się to nie zdarzyło, ale mój starszy coś właśnie zaczął mnie

Matpiotr

03.12.2021, 20:35:56

Treść przeznaczona dla osób powyżej 18 roku życia...

j38acpls

04.12.2021, 14:25:20

@Matpiotr: czyli jednak coś było na rzeczy - https://www.wykop.pl/link/6395369/atak-hakerski-na-t-mobile-najwiekszy-w-historii-operatorow-sieci-w-polsce/