#security - strona 59

Wszystko

Najnowsze

Archiwum

14.12.2021, 08:49:16

O co chodzi z podatnością "log4j"? #od0dopentestera
Szybkie wyjaśnienie dla osób nietechnicznych.

1. Log4j to bardzo popularna biblioteka używana w aplikacjach stworzonych w języku Java.
Służy ona do zapisywania logów z działania programu.
Log to chronologiczny zapis tego co dzieje się w

KacperSzurek

14.12.2021, 11:56:16

@diablik: Wydaje mi się, że opinia: "nie jest na 100% skuteczne" wynika z tego, że nigdy nie wiadomo czy aby inny komponent systemu (gdzieś po drodze) nie korzysta czasem z log4j.
Co z tego, że my załatamy swoją aplikację - jeśli jakiś inny komponent tego nie zrobi ;)

globalbus

14.12.2021, 12:09:48

@KacperSzurek: w swojej aplikacji masz kontrolę nad tym, co trafi do wynikowego jara. Problemem są np. aplikacje, które odpalają inne komponenty "gdzieś obok". Kolejki, indeksowanie itd.
Przykład - bitbucket jako taki nie ma log4j2, ale odpala sobie obok elasticsearch do indeksowania repozytoriów. A ten elasticsearch ma log4j2 w podatnej wersji.

Dość absurdalnie wygląda to w kubernetes, gdzie środowiska OKD/Openshift mają poinstalowany stos ELK do przechowywania logów. Także można przesłać ten

M.....T

konto usunięte 13.12.2021, 20:28:28

CBA dostało zakaz używania Pegasusa. Co teraz? - [Niebezpiecznik]
O utracie dostępu do Pegasusa przez CBA, przełamywaniu zabezpieczeń certyfikatów covidowych i cyberprzestępczych sądach, które rozstrzygają spory między oszustami.

#security #ciekawostki #cba #pegasus #cyberbezpieczenstwo #hacking #niebezpiecznik

M.....T - CBA dostało zakaz używania Pegasusa. Co teraz? - [Niebezpiecznik]
O utraci...

Porgam

13.12.2021, 20:47:23

Komentarz usunięty przez moderatora

EastWestEast

13.12.2021, 21:22:01

Komentarz usunięty przez autora

CERT Polska ostrzega przed cyberatakami. "Wykryto krytyczną podatność"

CERT Polska poinformował, że obserwuje coraz więcej prób ataków na strony napisane w języku Java, które korzystają z biblioteki Apache Log4j. "Wykryto krytyczną podatność pozwalającą na zdalne wykonanie kodu z uprawnieniami danej aplikacji".

z dodany: 13.12.2021, 07:30:10

handler

12.12.2021, 20:16:11

Pamiętacie sytuacje dziewczynki, której wyskakiwały reklamy rzeczy dla kobiet w ciąży, jej ojciec podał te firmę do sądu, a ona jednak była w ciąży, bo algorytm się nie mylił? #security #pytanie

Nikczemny

12.12.2021, 21:44:11

@handler: https://www.forbes.com/sites/kashmirhill/2012/02/16/how-target-figured-out-a-teen-girl-was-pregnant-before-her-father-did/

handler

13.12.2021, 21:15:12 via iOS

@Nikczemny: Tak to jest to! Dziękuje <3

Serious Log4j Security Flaw Puts The Entire Internet At Risk, Even iCloud...

A bug in Java logging software included in almost every web-facing app offers remote code execution with admin privileges. W skrócie - internet w ogniu

z dodany: 12.12.2021, 00:02:32

v.....i

konto usunięte 11.12.2021, 19:53:47

ktoś kto to stworzył ma 0iq
#security #lotto #bezpieczenstwo

v.....i

konto usunięte 11.12.2021, 19:57:02

@MaxVerstapen: bo ograniczają siłę hasła niepotrzebnie, tak jakby im to przeszkadzało że chce miec haslo którego nie da się scrackować

v.....i

konto usunięte 11.12.2021, 20:06:03

a tak serio to hasło ma być łatwe do zapamiętania

@MaxVerstapen: ja uzywam menedzera hasel i sam nie znam ani jednego ze swoich 200 hasel ( ͡° ͜ʖ ͡°)

Najbardziej krytyczna luka ostatniej dekady jest “fully weaponized”.

Krytyczna luka w powszechnie stosowanym oprogramowaniu - wykorzystana w grze online Minecraft - szybko staje się poważnym zagrożeniem dla organizacji na całym świecie. Log4Shell zapewnia łatwy dostęp do sieci wewnętrznych, czyniąc je podatnymi na kradzież i utratę danych. [ENG]

z dodany: 11.12.2021, 13:46:37

sekurak

10.12.2021, 15:59:22

Podatność w serwerach (i klientach) Minecraft – przez wpisanie exploita na chacie można przejąć serwer oraz innych graczy ;-/

aka tylko demonstracja możliwości najnowszej podatności w log4j, CVE-2021-44228

https://sekurak.pl/podatnosc-w-serwerach-minecraft-wpisujesz-exploita-na-chacie-i-przejmujesz-serwer-oraz-innych-graczy-log4j-cve-2021-44228/

#sekurak #minecraft #bezpieczenstwo #java #programowanie #security

sekurak - Podatność w serwerach (i klientach) Minecraft – przez wpisanie exploita na ... — **źródło:** comment_1639151906RcVxbUUk7l8p9pIkK9d6my.jpg
Pobierz

Whipie

10.12.2021, 20:20:55

@lovox: Podatna jest biblioteka więc wystarczy wykonywać analizę komponentów. Czyli generujesz SBOMy i ładujesz je do odpowiedniego narzędzia, np. https://dependencytrack.org/. Z tego co widzę CVE nie ma jeszcze ustawionych CPE więc alertu byś nie dostał. Natomiast narzędzie agreguje wszystkie użycia biblioteki więc wystarczyłoby wpisać "log4j" w wyszukiwarce i miałbyś listę podatnych projektów.

Manah

10.12.2021, 21:56:52

@sekurak: Dlaczego w 2021 ważna biblioteka zaniedbuje sanityzację inputów? Przecież ten exploit jest dość durny.

ZaufanaTrzeciaStrona

10.12.2021, 09:37:00

Całkiem sprytna sztuczka. Sprzedajesz komputer, kupujący prosi o benchmarka. Uruchamiasz benchmarka a twój komputer zaczyna kopać Monero - ale nie dla ciebie.

https://www.wykop.pl/link/6405011/sprzedajesz-komputer-uwazaj-na-ten-nowy-nietypowy-rodzaj-ataku/

#zaufanatrzeciastrona. #bezpieczenstwo #security

ZaufanaTrzeciaStrona

10.12.2021, 09:48:15

@oslet: Też sądzę, że się na tym autor ataku nie dorobił, ale wektor infekcji wymyślił całkiem sprytnie. Nie będę podpowiadał, co mógł poprawić w samym payloadzie ;)
/Adam

Bordomir

10.12.2021, 13:28:47 via Android

@oslet
@ZaufanaTrzeciaStrona a może to jest tak naprawdę targetowany atak? Urząd skarbowy sprawdza czy osoby kupujące laptopy o znacznej wartości grzecznie odprowadzają podatek. Sprawdziliście czy to na pewno tylko kopie (;?

sekurak

10.12.2021, 07:42:07

Krytyczna podatność w bibliotece log4j – łatajcie, bo zaczęło się masowe exploitowanie.

Wg relacji podatne są również (oczywiście) biblioteki czy rozwiązania wykorzystujące Apache log4j (mowa jest m.in. o Steam, iCloud czy serwerach Minecraft).

https://sekurak.pl/krytyczna-podatnosc-w-log4j-latajcie-bo-zaczelo-sie-masowe-exploitowanie/

#programowanie #bezpieczenstwo #java #sekurak #security

sekurak - Krytyczna podatność w bibliotece log4j – łatajcie, bo zaczęło się masowe ex... — **źródło:** comment_1639122082K5NIwxEeWLib2lS1n7Jh4C.jpg
Pobierz

o.....6

konto usunięte 10.12.2021, 07:44:45

@sekurak: exploit w javie? Nowe, nie znałem.

j.....6

konto usunięte 10.12.2021, 08:09:13

@sekurak: tak to jest niestety teraz, u mnie podobnie, deadline z góry ustalony, w Sprincie w 2 tygodnie się upcha daną funkcjonalność, bądźmy Agile

Sprzedajesz komputer – uważaj na ten nowy, nietypowy rodzaj ataku

Wojtek otrzymał wiadomość w serwisie Allegro Lokalnie od niezarejestrowanego użytkownika. Oto jej zrzut ekranu i wersja tekstowa: "...Czy można by było wysłać raport z chociaż 5 minutowego testu CPU + MEMORY + 3D + VRAM programem OCCT PRO? Raport generuje się jako obraz po kliknięciu ikony..."

z dodany: 10.12.2021, 04:28:05

Inveth

09.12.2021, 11:31:38

#it #security #bezpieczenstwo #siecikomputerowe

Siemka - co na dzień dzisiejszy można polecić jako dobre zabezpieczenie dwuskładnikowe? Głównie chodzi o zabezpieczenie dostępu do poczty/hostingu/serwisów - super jakby miało NFC (do użycia z telefonem)

Z tego co się wstępnie rozglądałem najsensowniejszy wydaje się być YubiKey 5 NFC - ale być może jest coś lepszego?
Korzysta ktoś z jednego YubiKey 5 NFC i zapasowego nano

Inveth - #it #security #bezpieczenstwo #siecikomputerowe

Siemka - co na dzień dzis... — **źródło:** comment_1639049497DplxjdkJEVfsUwEd85z2nV.jpg
Pobierz

sq4ind

09.12.2021, 11:37:01

@Inveth: polecam yubikey... uzywam wlasnie ten model z obrazka, jedyny problem to AWS nie wspiera safari na MacOS, a tak bez problemu dziala.

juniordev

09.12.2021, 11:45:15

@Inveth: mozna

k.....x

konto usunięte 08.12.2021, 09:12:06

Tor’s system of proxy servers in Russia had partly stopped working at around 5:21pm Moscow time on December 2.
//
#tor #internet #bezpieczenstwo #security #siecikomputerowe #sieci #programista15k

k.....x

konto usunięte 08.12.2021, 09:38:07

@wytrzzeszcz: nie poczułeś się teraz jak Dolas (Rany Julek! Ale nawarzyłem bigosu!) w czołówce "Jak rozpętałem ..."?
//

wytrzzeszcz

08.12.2021, 09:39:59

@kjjbox: lekko

Quantum Origin zapewni światu szyfrowanie z wykorzystaniem technologii kwantowej

Firma Quantinuum ogłosiła powstanie i ruszenie ze sprzedażą Quantum Origin. To pierwszy na świecie generator kluczy, który umożliwia szyfrowanie z wykorzystaniem technologii kwantowej. Ma on na celu zapewnić klientom algorytmy szyfrowania oparte na obliczeniach kwantowych.

z dodany: 08.12.2021, 07:10:48

Showroute_pl

07.12.2021, 12:16:06

#netprasowka 49/21

I teraz Netprasówki.

1. Już wiele razy pojawiał się temat rozkładu ruchu w czasie, który był związany z ograniczeniami w poruszaniu się i pracy. Tym razem mamy uczniów i szkoły. Jak wygląda ruch w mobilny, gdy uczniowie wracają do szkoły. Wzrasta, czy maleje?

Link

Showroute_pl - #netprasowka 49/21

I teraz Netprasówki.

1. Już wiele razy poj... — **źródło:** comment_1638879354JToA4b7zg58Gfc9tmYKSw6.jpg
Pobierz

Szwajcarska firma Mitto AG śledziła telefony wybranych osób na zlecenie rządu.

Według agencji Bloomberga, która przeprowadziła wraz z Biurem Dziennikarstwa Śledczego z Londynu swoje własne dochodzenie, współzałożyciel i prezes Mitto Ilja Gorelik sprzedawał w tajemnicy dostęp do sieci swojej spółki rządom chcącym inwigilować konkretne osoby za pomocą ich telefonów komórkowych.

z dodany: 07.12.2021, 07:09:25

Aktywiści zakłócili Szczyt Cyfrowy ONZ

Działacze zakłócili tegoroczny Szczyt Cyfrowy ONZ – IGF, odbywający się w Katowicach. Podczas „globalnej dyskusji o rozwoju internetu”, jak organizatorzy nazywają wydarzenie, przypomnieli o masowej inwigilacji użytkowników sieci oraz o pracownikach platformowych (typu dostawcy w Glovo czy Uberze).

z dodany: 06.12.2021, 19:17:58

marcel009_

06.12.2021, 09:19:25

Polecacie jakieś blogi/książki/kanały na yt dotyczące bezpieczeństwa sieci?
#siecikomputerowe #bezpieczenstwo #security

d.....r

konto usunięte 06.12.2021, 17:53:02

@marcel009_: mnóstwo. zacznij od ścieżki design od Cisco. Stare CCDA/CCDP. Później CISSP. To są takie podstawy. Stara ścieżka CCNA Security IMHO jest the best

j38acpls

03.12.2021, 20:33:04

Apropos #afera z #telefony #siecikomorkowe #play itd. - Nie zauważyliście jakichś dziwnych akcji wczoraj i dziś z telefonami, że np ktoś znajomy do was dzwonił, a jak odebraliście to on też zdziwiony bo jemu się wyświetliło że to my dzwoniliśmy, albo inna akcja że ogólnie niektóre numery się pousuwały z książki telefonicznej?

Mi się to nie zdarzyło, ale mój starszy coś właśnie zaczął mnie

Matpiotr

03.12.2021, 20:35:56

Treść przeznaczona dla osób powyżej 18 roku życia...

j38acpls

04.12.2021, 14:25:20

@Matpiotr: czyli jednak coś było na rzeczy - https://www.wykop.pl/link/6395369/atak-hakerski-na-t-mobile-najwiekszy-w-historii-operatorow-sieci-w-polsce/

Jak przygotować Polskę i swoją społeczność do współczesnej wojny?

Na czym polega przygotowanie się do współczesnej wojny, jak nie pozwolić przeciwnikowi osiągnąć swoich celów? Czy teoretycy wojny jeszcze coś do powiedzenia. Będzie też o uzbrojeniu, nowoczesnej broni, doświadczeniach z ostatnich wojen i o tym jak powinna być nowoczesna armia. - gen Leon Komornicki

z dodany: 03.12.2021, 19:32:30