Hej Mirasy z tagów #kryptografia, #sekurak, #itsecurity polecicie mi jakieś ciekawe artykuły naukowe na temat kryptografii? Potrzebuje inspiracji do napisania swojego PZDR!
Wszystko
Najnowsze
Archiwum
konto usunięte
Krytyczna podatność w iPhone, wykorzystywana w dziczy. Apple wydaje pilną łatkę (iOS 15.3.1)
TLDR: wchodzisz na odpowiednio przygotowaną stronę, ktoś może uzyskać dostęp do Twojego telefonu. Łatkę dostały wszystkie iPhony począwszy od 6S (który miał premierę w 2015 roku. ~7 lat wsparcia - wow!).
https://sekurak.pl/krytyczna-podatnosc-w-iphone-wykorzystywana-w-dziczy-apple-wydaje-pilna-latke/
#sekurak #bezpieczenstwo #apple #iphone
TLDR: wchodzisz na odpowiednio przygotowaną stronę, ktoś może uzyskać dostęp do Twojego telefonu. Łatkę dostały wszystkie iPhony począwszy od 6S (który miał premierę w 2015 roku. ~7 lat wsparcia - wow!).
https://sekurak.pl/krytyczna-podatnosc-w-iphone-wykorzystywana-w-dziczy-apple-wydaje-pilna-latke/
#sekurak #bezpieczenstwo #apple #iphone
Stacja radiowa przypadkiem spowodowała pętle restartów w systemach infotainment wybranych modeli Mazdy.
TLDR: Winny plik bez rozszerzenia wysyłany w strumieniu radiowym. Mazda: konieczna wymiana całego Connectivity Master Unit. Zobaczcie też jakie inne, szalone efekty błędu raportują kierowcy:
https://sekurak.pl/stacja-radiowa-przypadkiem-spowodowala-petle-restartow-w-systemach-infotainment-wybranych-modeli-mazdy/
#mazda #motoryzacja #bezpieczenstwo #sekurak #radio #ciekawostki
TLDR: Winny plik bez rozszerzenia wysyłany w strumieniu radiowym. Mazda: konieczna wymiana całego Connectivity Master Unit. Zobaczcie też jakie inne, szalone efekty błędu raportują kierowcy:
https://sekurak.pl/stacja-radiowa-przypadkiem-spowodowala-petle-restartow-w-systemach-infotainment-wybranych-modeli-mazdy/
#mazda #motoryzacja #bezpieczenstwo #sekurak #radio #ciekawostki
źródło: comment_16444852332djdbLGrX51h18rAmPichn.jpg
Pobierz
@sekurak: tęsknię za starymi samochodami bez tony elektroniki. Wystarczyły elektrycznie podnoszone szyby i klimatyzacja, a do tego duży solidny silnik pod maską.
Oczywiscie p---------e starych dziadów którzy narzekaja ile to elektroniki teraz w autach i że jak to tak: Checked xD Nikt wam nie zabrania jezdzic maluchem i nie korzystać z wygód dzisiejszych czasów
Jesteś klientem mBanku? Zobacz jak możesz sprawnie chronić się przed spoofingiem telefonicznym/lewymi konsultantami.
TLDR: PUSH do appki mobilnej z informacją czy/jaki konsultant dzwoni.
https://sekurak.pl/jestes-klientem-mbanku-zobacz-jak-mozesz-sprawnie-chronic-sie-przed-spoofingiem-telefonicznym-lewymi-konsultantami/
#banki #sekurak #bezpieczenstwo #ciekawostki #technologia #mbank
TLDR: PUSH do appki mobilnej z informacją czy/jaki konsultant dzwoni.
https://sekurak.pl/jestes-klientem-mbanku-zobacz-jak-mozesz-sprawnie-chronic-sie-przed-spoofingiem-telefonicznym-lewymi-konsultantami/
#banki #sekurak #bezpieczenstwo #ciekawostki #technologia #mbank
źródło: comment_1644413035fWL8qo4mru6i3LznHF1Xoa.jpg
Pobierz
@sekurak: A po co? To oni dzwonią i to oni mają do mnie sprawę. Zawsze mówię, że mnie nie interesuje ich rozmowa, nigdy nie zgadzam się na nagrywanie. Jak mam sprawę to sam do nich dzwonie a nie na odwrót. Jeszcze w moich myślach nie czytają.
W to, że wygrała milion lub spadek choć w lotto nie grała i księcia za granicą w rodzinie nie ma, pewnie też wierzy
@dzieju41: Nie wrzucaj wszystkich do jednego wora, są ludzie którzy nabiorą się na księcia z nigerii ale nie wszyscy są tacy techniczni jak ja czy ty. Nie każdy rozumie, że numer telefonu można spoofować. W dodatku starsze osoby... Nie są już tak kumate jak my. Dla nich
Służby odzyskały ~15 000 000 000 PLN (~94636 BTC) skradzione w wyniku hacku na Bitfinex.
Jakim cudem udało się odzyskać? Wg śledczych przestępcy mieli backup w cloudzie ;-) niby zaszyfrowany, ale udało się go odszyfrować (w środku klucz prywatny do portfela/portfeli)
PS
kurs BTC podskoczył trochę w tydzień, więc obecnie odzyskana kwota to już grubo ponad 16 000 000 000 zł
Jakim cudem udało się odzyskać? Wg śledczych przestępcy mieli backup w cloudzie ;-) niby zaszyfrowany, ale udało się go odszyfrować (w środku klucz prywatny do portfela/portfeli)
PS
kurs BTC podskoczył trochę w tydzień, więc obecnie odzyskana kwota to już grubo ponad 16 000 000 000 zł
źródło: comment_1644405295yIqVIwUuxhmX9OGlqO3ogO.jpg
PobierzJakim cudem udało się odzyskać?
@sekurak: W 99 na 100 przypadków odbywa się to w ten sposób ¯\_(ツ)_/¯
źródło: comment_1644405772zH3bhHwLVGRDDyg3lklNKX.jpg
PobierzJakaś niewidzialna kasa, której nawet nie można dotknąć
@krzywy_odcinek: a kasę która masz na koncie w banku widzisz...?
Miał ktoś tak że mu baza z keepasaxs z Windowsa nie odpala się na Ubuntu ? Bo mnie zaraz pierun strzeli.
Plik z keyem w użyciu i nie da rady odszyfrować na Ubuntu na windowsie działa normalnie.
Linux mint jbc.
#keepass #it #itsecurity #pentesting #it #informatyka #bezpieczenstwowsieci #sekurak
Plik z keyem w użyciu i nie da rady odszyfrować na Ubuntu na windowsie działa normalnie.
Linux mint jbc.
#keepass #it #itsecurity #pentesting #it #informatyka #bezpieczenstwowsieci #sekurak
PKO BP wprowadza super metodę ochrony przed spoofingiem telefonicznym/lewymi konsultantami banku.
TLDR: push do appki IKO z personaliami konsultanta, które można porównać z tym co zeznaje "konsultant":
https://sekurak.pl/pko-bp-wprowadza-super-metode-ochrony-przed-spoofingiem-telefonicznym-lewymi-konsultantami-banku/
#sekurak #banki #ciekawostki #bezpieczenstwo
TLDR: push do appki IKO z personaliami konsultanta, które można porównać z tym co zeznaje "konsultant":
https://sekurak.pl/pko-bp-wprowadza-super-metode-ochrony-przed-spoofingiem-telefonicznym-lewymi-konsultantami-banku/
#sekurak #banki #ciekawostki #bezpieczenstwo
źródło: comment_1644322025BixS9YQNnzrThrkrmq4W7X.jpg
Pobierz
@sekurak: W Aliorze można ustawić hasło zwrotne na infolinię. Jeżeli zadzwoni konsultant, to pytasz go o hasło i musi podać frazę, którą ustawiłeś wcześniej. Funkcjonalność ma ponad dziesięć lat.
Mało kto o niej wie...
Mało kto o niej wie...
Po jakimś czasie zorientowali się że do pracy przyszła zupełnie inna osoba...
TLDR: Pracownik przeszedł złożoną rekrutację. Były też background check i takie tam ;). No więc Welcome aboard! Otrzymał dostępy do zasobów firmowych. Ale coś tu nie grało. Po jakimś czasie zorientowali się, że do pracy stawił się inny człowiek niż ten, który przeszedł rekrutację.
z- 89
- #
- #
- #
- #
- #
Dostarczenie-lewego-pracownika-do-firmy-as-a-service:
TLDR: pracownik przeszedł złożoną rekrutację. Ale po jakimś czasie zorientowali się, że do pracy przyszła… zupełnie inna osoba! Firma teraz analizuje: jakie firmowe dane udało się pobrać kolesiowi, czy w ogóle uda się odzyskać przekazany mu firmowy sprzęt, kim ten koleś tak na prawdę był, ...
https://sekurak.pl/pracownik-przeszedl-zlozona-rekrutacje-ale-po-jakims-czasie-zorientowali-sie-ze-do-pracy-przyszla-zupelnie-inna-osoba/
#sekurak #bezpieczenstwo #rekrutacja #oszukujo
TLDR: pracownik przeszedł złożoną rekrutację. Ale po jakimś czasie zorientowali się, że do pracy przyszła… zupełnie inna osoba! Firma teraz analizuje: jakie firmowe dane udało się pobrać kolesiowi, czy w ogóle uda się odzyskać przekazany mu firmowy sprzęt, kim ten koleś tak na prawdę był, ...
https://sekurak.pl/pracownik-przeszedl-zlozona-rekrutacje-ale-po-jakims-czasie-zorientowali-sie-ze-do-pracy-przyszla-zupelnie-inna-osoba/
#sekurak #bezpieczenstwo #rekrutacja #oszukujo
źródło: comment_1644229338C7LuXe0yRA8wsxXWmlOkOv.jpg
Pobierz
@sekurak: Indyjski standard. Ogarnięty Kumar na rozmowie a do pracy przychodzi Kumar 2
Gładkie wprowadzenie do Linuksa. Świetna książka dostępna za darmo!
Jest też mini rozdział o vi :-) I kilka tricków dla bardziej zaawansowanych:
https://sekurak.pl/gladkie-wprowadzenie-do-linuksa-swietna-ksiazka-dostepna-za-darmo/
#sekurak #rozdajo #linux #unix #technologia
Jest też mini rozdział o vi :-) I kilka tricków dla bardziej zaawansowanych:
https://sekurak.pl/gladkie-wprowadzenie-do-linuksa-swietna-ksiazka-dostepna-za-darmo/
#sekurak #rozdajo #linux #unix #technologia
źródło: comment_16442226549PMOg6cUs5n0HdqXnrGvw2.jpg
Pobierz
Przepisywali ludzi do innych przychodni / lekarza rodzinnego. Po co? Jak to w ogóle możliwe? W tle wyciek PESELi oraz "geniusz wśród geniuszów januszostwa", który cały proceder wymyślił:
https://sekurak.pl/przepisywali-ludzi-do-innych-przychodni-lekarza-rodzinnego-po-co-jak-to-w-ogole-mozliwe/
#sekurak #medycyna #nfz #ciekawostki #bezpieczenstwo #oszukujo
https://sekurak.pl/przepisywali-ludzi-do-innych-przychodni-lekarza-rodzinnego-po-co-jak-to-w-ogole-mozliwe/
#sekurak #medycyna #nfz #ciekawostki #bezpieczenstwo #oszukujo
źródło: comment_1644183461vjTgZKEtZbYxUBoveOEsXi.jpg
PobierzUSA testuje psy-roboty (Ghost Robotics) do patrolowania granicy z Meksykiem.
Kontrola zdalna lub tryb autonomii. Praca w ciężkich warunkach terenowych, w tym np. możliwość chodzenia po schodach
Opcjonalnie instalowany „payload” (kamera przesyłająca obraz na żywo, sensory, ...).
https://sekurak.pl/usa-testuje-psy-roboty-do-patrolowania-granicy-z-meksykiem/
Kontrola zdalna lub tryb autonomii. Praca w ciężkich warunkach terenowych, w tym np. możliwość chodzenia po schodach
Opcjonalnie instalowany „payload” (kamera przesyłająca obraz na żywo, sensory, ...).
https://sekurak.pl/usa-testuje-psy-roboty-do-patrolowania-granicy-z-meksykiem/
źródło: comment_1644056596p2t5wDAOk8meJkAaQ5I0JD.jpg
Pobierz
"Fajny" 0-day w Zimbra. Wystarczy, że klikniesz w linka osadzonego w mailu (nie trzeba otwierać żadnego załącznika) i po cichu wykradają zawartość całej Twojej skrzynki e-mailowej.
Podatność jest już uzbrojona - trwa aktywna kampania ataków, wykradająca podatnością XSS zawartość skrzynek pocztowych:
https://sekurak.pl/niezalatany-0-day-w-zimbra-8-x-xss-em-kradna-e-maile-ofiar/
#sekurak #programowanie #bezpieczenstwo #hacking #zimbra #webdev
Podatność jest już uzbrojona - trwa aktywna kampania ataków, wykradająca podatnością XSS zawartość skrzynek pocztowych:
https://sekurak.pl/niezalatany-0-day-w-zimbra-8-x-xss-em-kradna-e-maile-ofiar/
#sekurak #programowanie #bezpieczenstwo #hacking #zimbra #webdev
źródło: comment_1643968828cxQicdAw0FX3p7UcHwRrED.jpg
PobierzKupił akwarium. Oraz akcesoria. Przeskanował API i dostał roota.
Krótka historia, pokazująca, że każdy może spokojnie „pobawić się” w bezpieczeństwo IoT, osiągając satysfakcjonujące wyniki w krótkim czasie. We wpisie również linki do narzędzi przydatnych w tego typu badaniach.
z- 0
- #
- #
- #
- #
- #
- #
Giga korporacja bierze na spytki twórcę curla (bo z niego korzysta :P) ...
Piszesz popularne oprogramowanie OpenSource. A tu nagle e-mail od giga korporacji, która akurat tego toola wykorzystuje. "Chcemy żebyś odpowiedział w 24h". Czy używałeś log4j? Czy miałeś incydenty bezpieczeństwa? Dostali całkiem dyplomatyczną odpowiedź: podpiszcie umowę wsparcia, to pogadamy.
z- 129
- #
- #
- #
- #
100 mln użytkowników okradzionych przez aplikacje na system Android!
Okazuje się, że ponad 400 aplikacji dostępnych na system Android okradło aż 100 mln użytkowników na całym świecie!
z- 2
- #
- #
- #
- #
- #
- #
Piszesz sobie popularne oprogramowanie OpenSource. A tu nagle e-mail od giga korporacji, która akurat tego toola wykorzystuje.
"Chcemy żebyś odpowiedział w 24h". Czy używałeś log4j? Czy miałeś incydenty bezpieczeństwa? Jakie ew. dane zostały wykradzione?
Dostali całkiem dyplomatyczną odpowiedź: podpiszcie umowę wsparcia, to pogadamy
https://sekurak.pl/giga-korporacja-bierze-na-spytki-tworce-curla-bo-z-niego-korzysta-p-odpowiedz-nam-w-24h/
"Chcemy żebyś odpowiedział w 24h". Czy używałeś log4j? Czy miałeś incydenty bezpieczeństwa? Jakie ew. dane zostały wykradzione?
Dostali całkiem dyplomatyczną odpowiedź: podpiszcie umowę wsparcia, to pogadamy
https://sekurak.pl/giga-korporacja-bierze-na-spytki-tworce-curla-bo-z-niego-korzysta-p-odpowiedz-nam-w-24h/
źródło: comment_1643625258bZP7D32FdMmTBu2KRTdSBX.jpg
PobierzIntensywna kampania podszywająca się pod Blika. Wykorzystują spoofing SMSów i kradną dostępy do kont bankowych.
https://sekurak.pl/intensywna-kampania-podszywajaca-sie-pod-blik-a-wykorzystuja-spoofing-smsow-i-kradna-dostepy-do-kont-bankowych/
#sekurak #bezpieczenstwo #banki #oszukujo #blik
https://sekurak.pl/intensywna-kampania-podszywajaca-sie-pod-blik-a-wykorzystuja-spoofing-smsow-i-kradna-dostepy-do-kont-bankowych/
#sekurak #bezpieczenstwo #banki #oszukujo #blik
źródło: comment_1643484430Qj9Y7uAyqFfP865d9HQTkr.jpg
Pobierz
„Zainfekowany Pegasusem telefon Michała Kołodziejczaka był… wyprodukowany później niż data infekcji określona w raporcie Citizen Lab”. Czy aby na pewno?
Mamy też dodatkowe wyjaśnienia bezpośrednio od Citizen Lab - ekipy, która analizowała iPhone Michała Kołodziejczaka :
https://sekurak.pl/zainfekowany-pegasusem-telefon-michala-kolodziejczaka-byl-wyprodukowany-pozniej-niz-data-infekcji-okreslona-w-raporcie-citizen-lab-czy-aby-na-pewno/
#sekurak #bezpieczenstwo #pegasus #polska
Mamy też dodatkowe wyjaśnienia bezpośrednio od Citizen Lab - ekipy, która analizowała iPhone Michała Kołodziejczaka :
https://sekurak.pl/zainfekowany-pegasusem-telefon-michala-kolodziejczaka-byl-wyprodukowany-pozniej-niz-data-infekcji-okreslona-w-raporcie-citizen-lab-czy-aby-na-pewno/
#sekurak #bezpieczenstwo #pegasus #polska
źródło: comment_1643224965bn7dsalZEBBHEEQDYi8H2f.jpg
Pobierz@sekurak: Mocno to uderza w wiarygodnosc tych inwigilacyjnych doniesien. Sekurak jak zawsze fachowo i rzeczowo:)
Czyta ktoś książkę Sekuraka o bezpieczeństwie aplikacji webowych i przerabia zadanka? Mam problem z tym:
"Pod adresem http://training.securitum.com/book/http-headers/cwiczenie_iprestrictions.php znajduje się zabezpieczony panel. Dostęp do niego został ograniczony wyłącznie do konkretnego adresu IP. Zadaniem Czytelnika jest odkryć, jaki to adres, oraz znaleźć sposób ominięcia tego filtru, tak aby uzyskać dostęp do zasobu."
Ktoś wie jak zdobyć tego IP-ka?
#programista15k #programowanie #siecikomputerowe #bezpieczenstwo #sekurak
"Pod adresem http://training.securitum.com/book/http-headers/cwiczenie_iprestrictions.php znajduje się zabezpieczony panel. Dostęp do niego został ograniczony wyłącznie do konkretnego adresu IP. Zadaniem Czytelnika jest odkryć, jaki to adres, oraz znaleźć sposób ominięcia tego filtru, tak aby uzyskać dostęp do zasobu."
Ktoś wie jak zdobyć tego IP-ka?
#programista15k #programowanie #siecikomputerowe #bezpieczenstwo #sekurak
@Sir_Lucifer: prawidłowe IP to 192.168.0.1 (wyłącznie metodą prób i błędów)
@Sir_Lucifer: to jest ciekawe aczkolwiek nie musi dotyczyć tego przypadku (ja chyba inaczej rozumiem proxy)
https://shubs.io/enumerating-ips-in-x-forwarded-headers-to-bypass-403-restrictions/
https://shubs.io/enumerating-ips-in-x-forwarded-headers-to-bypass-403-restrictions/
@sekurak: piękne tłumaczenie xD
@sekurak: Ostatnia aktualizacja bezpieczeństwa 12.5.4 we wrześniu 2021 objęła iPhone 5s z 2013 roku.
6s po 7 latach ma pełną aktualizację do najnowszego iOS równocześnie z najnowszymi modelami - tutaj żaden inny producent nie zbliża się nawet do tak długiego wsparcia