haxite.org

An expert is a man who has made all the mistakes that can be made in a very narrow field. - Niels Bohr


0x01 Aktualności


Apple wiedziało o słabych zabezpieczeniach iCloud na długo przed wyciekiem nagich zdjęć

29 września 05:49   2   Yans   Bezpieczeństwo

Wyciek prywatnych (i w wielu przypadkach nagich) zdjęć celebrytek – zwany The Fappening – negatywnie odbił się nie tylko na samych poszkodowanych, ale też na firmie Apple. Dlaczego? Ponieważ to właśnie z jej usługi chmurowej iCloud wykradzione miały zostać materiały. Gigant z Cupertino przyznał, że faktycznie konta aktorek, wokalistek i innych gwiazd zostały zhakowane. Wydawałoby się więc, że Apple zagrało fair – okazuje się jednak, że sprawa sięga znacznie głębiej.

Brytyjczyk Ibrahim Balic – specjalista ds. bezpieczeństwa – na wiele miesięcy przed aferą wysłał wiele raportów do firmy Apple, w których pisał, że jej usługa iCloud jest podatna na ataki typu brute-force. Polegają one na próbie złamania hasła dzięki wykorzystaniu algorytmu sprawdzającego wszystkie możliwości. Balic próbował skontaktować się z Apple zarówno poprzez e-mail, jak i system raportowania błędów.

W e-mailu z dnia 26 marca Ibrahim Balic napisał do pracownika firmy Apple: „Znalazłem nowy problem dotyczący kont Apple (sic)… Korzystając z ataków brute-force mogę wypróbować więcej niż 20 000 haseł dla każdego konta. Myślę, że powinna zostać wprowadzona blokada konta. Dołączam też zrzut ekranu. Zgłaszałem ten sam problem firmie Google i otrzymałem od nich odpowiedź”. I od Apple również taką odpowiedź otrzymał. Brzmiała ona: „Dobrze wiedzieć, dziękujemy za informację”.

Balic zgłosił ten problem także poprzez system raportowania błędów

Apple odpowiedziało Balicowi dopiero w maju: „na podstawie przekazanych przez Ciebie informacji wynika, że odnalezienie prawidłowego hasła zajęłoby niezwykle dużo czasu. Uważasz, że znasz sposób na uzyskanie dostępu do konta w stosunkowo krótkim czasie?” – spytał specjalista ds. bezpieczeństwa podpisujący się imieniem Brandon.

Balic przyznał w rozmowie z Daily Dot, że Apple zamiast rozwiązać ten problem wciąż dopytywało go czy istnieją sposoby na szybkie przejęcie konta. No i cóż – wygląda na to, że się doigrało.
Bash pozwala na zdalne wykonanie kodu

25 września 10:59   3   dominium   *nix

Uwaga na CVE-2014-6271 — dzięki tej podatności w bashu (ale również sh i zsh, jak twierdzą niektórzy) można wykonać własny kod poprzez odpowiednią manipulację zmiennymi środowiskowymi.

Więcej informacji: https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
Wyrafinowany atak na największych dostawców poczty elektronicznej

11 września 12:59   3   ~off   Bezpieczeństwo

Wygląda na to, że w ciągu ostatniego roku bliżej niesprecyzowana część poczty wysyłanej na skrzynki w domenach Google, Yahoo czy Microsoftu mogła przechodzić przez podstawione serwery. Kto, jak i po co mógł prowadzić taki atak?
Więcej informacji: http://zaufanatrzeciastrona.pl/post/wyrafinowany-atak-na-najwiekszych-dostawcow-poczty-elektronicznej/ Polska ominie standardy prywatności na prośbę USA - umowa ws. FATCA

21 sierpnia 12:44   2   ~dii   Prawo

Polski rząd zapowiedział, że podpisze ze Stanami Zjednoczonymi umowę ws. wykonania FATCA. Jej celem jest ominięcie polskiego prawa w zakresie ochrony prywatności na życzenie USA. Narzędziem do tego będzie porozumienie międzyrządowe.

Niby w Polsce mamy jakieś prawo i wypracowane standardy w różnych kwestiach, ale co jakiś czas słyszymy o umowach międzynarodowych, które mają te standardy zmienić. Tak było z ACTA i tak może być z TTIP i CETA. Ciągle odnosimy wrażenie, że dyplomaci na szczeblu międzynarodowym chcą przepchnąć coś, na co w poszczególnych krajach nikt by się nie zgodził.
Więcej informacji: http://di.com.pl/news/50458.html Copyright trolling – teraz w Polsce?

22 lipca 14:17   49   dominium   Prawo

Od niedawna obserwujemy w Polsce bardzo niebezpieczne zjawisko, które nowi nazwę „Copyright trolling”. Niewątpliwie prekursorem tych działań jest kancelaria prawna Anny Łuczak, która trudni się wysyłaniem pism ugodowych w związku z domniemanym udostępnianiem filmów w sieciach p2p. Problem jest dość poważny w związku z instrumentalnym wykorzystaniem prokuratury celem zdobycia danych osobowych właściciela punktu dostępowego do sieci Internet.

Więcej informacji: http://www.internetblackout.org/copyright-trolling-teraz-w-polsce,0.html
Hackme CTF - kolejna edycja gry od UW-Team.org

12 czerwca 09:34   3   imlmpe   Bezpieczeństwo

Opublikowana została nowa wersja gry Hackme, autorstwa Unknowa z UW-Team.org.
Tym razem w rozgrywce zastosowano konwencję capture-the-flag, która polega na odnajdywaniu w spreparowanej aplikacji webowej, ukrytych znaczników (tzw. flag). Zebranie wszystkich flag wymaga obeznania z tematyką webdevelopmentu jak i web security.
Jedyną niedogodnością w tej wersji gry jest konieczność zalogowania się do niej za pomocą konta w dowolnej sieci społecznościowej.
Więcej informacji: http://ctf.uw-team.org Privacy @ Facebook? Yeah right...

2 czerwca 19:48   0   Cocaine   Bezpieczeństwo

Atakujący jest w stanie poznać listę pozornie ukrytych znajomych wykorzystując funkcję "wspólnych znajomych".

Więcej tu. POC w linku głownym.
Więcej informacji: https://www.youtube.com/watch?v=NSWU9ZfiSkE Wnioski o "bycie zapomnianym" przez Google można już składać online

31 maja 11:11   0   dominium   Bezpieczeństwo

Google udostępniła formularz dla osób, które chciałyby być "zapomniane" czyli chciałyby wymazać z Google jakieś linki na swój temat. To bardzo wyraźny skutek niedawnego wyroku Europejskiego Trybunały Sprawiedliwości.
Więcej informacji: http://di.com.pl/news/49997,0,Wnioski_o_bycie_zapomnianym_przez_Google_mozna_juz_skladac_online-Marcin_Maj.html Truecrypt odchodzi w niepamięć

29 maja 10:42   3   Cocaine   Bezpieczeństwo

Anonimowi programiści odpowiedzialni za rozwój i utrzymanie kodu otwartoźródłowego programu do szyfrowania najwyraźniej zarzucili swój projekt w tym tygodniu. Strona domowa programu truecrypt informuje użytkowników, że ich produkt nie jest już bezpieczny po tym jak Microsoft porzucił wsparcie dla systemu Windows XP.

W ciagu ostatnich 24 godzin strona truecrypt.org zaczeła przekierowywać użytkowników na odpowiednik w domenie sourceforge.net. Strona, na którą jest przekierowanie zawiera instrukcje pomocy dla użytkowników systemu Windows pomagające w migracji dysków zaszyfrowanych programem Truecrypt do szyfrowania z użyciem technologii Microsoftu o nazwie Bitlocker.
Więcej informacji: http://krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/ Adrian Oleszczuk żąda danych Czytelników DI i grozi postępowaniami

24 kwietnia 10:25   3   dominium   Prawo

Opisywany w DI Adrian Oleszczuk zażądał informacji o Czytelnikach, którzy komentowali jego działania. Przypomnimy pokrótce, że serwisy tego pana oferują zawarcie umowy o dzieło, i wystarczy do tego sama rejestracja w serwisie. W praktyce może się okazać, że zamiast pracy dostaniesz 660 zł długu.


Link do wykopu, może więcej ludzi dowie się o działaniach tego pana: http://www.wykop.pl/link/1962174/adrian-oleszczuk-zada-danych-czytelnikow-di-i-grozi-postepowaniami/

Uwaga na e-praca.vv.net.pl. Zamiast pracy możesz mieć 660 zł długu

23 kwietnia 17:06   0   dominium   Prawo

W sieci pojawił się kolejny serwis oferujący pracę na umowę o dzieło, gdzie do zawarcia umowy wystarczy rejestracja, ale odstąpienie od niej może kosztować 660 zł. Wypłacenie wynagrodzenia za pracę wcale nie jest gwarantowane umową zawieraną elektronicznie.

źródło: http://di.com.pl/news/49793,0,Uwaga_na_e-pracavvnetpl_Zamiast_pracy_mozesz_miec_660_zl_dlugu-Marcin_Maj.html
Krytyczna podatność w OpenSSL

15 kwietnia 10:37   3   daw_id   Bezpieczeństwo

W ostatnich tygodniach odkryto krytyczną podatność w OpenSSL, obecną w kodzie od ok. 2 lat. Z biblioteki tej korzysta znaczna część szyfrowanych połączeń w Internecie. Dziura pozwala na podsłuch przesyłanych danych.
Powstała strona dedykowana tej podatności: http://heartbleed.com/
Więcej informacji można też znaleźć na http://niebezpiecznik.pl/post/krytyczna-dziura-w-openssl-ponad-65-serwerow-w-internecie-podatnych-na-podsluch-i-to-od-2-lat
Winamp został kupiony przez Radionomy

7 stycznia 10:13   3   trolodk   Aplikacje użytkowe

Ogłoszenie zakończenia rozwijania aplikacji Winamp wywołało niezwykłe poruszenie w sieci. Wielu użytkowników było zaskoczonych, inny próbowali uwolnić źródła aplikacji podpisując się pod petycją, zaś giganci bardzo pragnęli przygarnąć pod swoją banderę niezły kąsek wraz z całym wachlarzem usług. Coś jest jednak na rzeczy, ponieważ po upływie daty śmierci witryna winamp.com nadal jest dostępna w sieci.
Więcej informacji: http://osnews.pl/winamp-zostal-kupiony-przez-radionomy/ Liczne błędy w Google Picasa

7 stycznia 10:11   0   trolodk   Bezpieczeństwo

Napastnik może wykorzystać liczne dziury w Google Picasa i przeprowadzić atak na system operacyjny. Błąd niedomiaru liczby całkowitej w module Picasa3.exe podczas przetwarzania tagów JPEG może zostać wykorzystany do wywołania przepełnienia bufora. W tym samym module występuje błąd przekroczenia zakresu liczby całkowitej, który ujawnia się w czasie przetwarzania tagów TIFF. Również i on może zostać wykorzystany do przepełnienia bufora.
Więcej informacji: https://www.arcabit.pl/virnews/liczne_bledy_w_google_picasa Oglądasz RedTube? Uważaj, prawnicy już polują

10-12-2013 09:49   0   redeye   Bezpieczeństwo

Niemiecka firma Baseprotect rozpoczęła niedawno polowanie na polskich użytkowników torrentów, którzy mieli pecha zainteresować się filmem „Czarny czwartek”. Niemcy, poprzez warszawską kancelarię adwokacką, domagają się zapłaty 550 złotych, przesyłając w wezwaniu m.in. dokładną godzinę, nazwę pliku i jego filehash.
Więcej informacji: http://gadzetomania.pl/255,ogladasz-redtube-uwazaj-prawnicy-rozpoczeli-polowanie-na-wielbicieli-internetowego-porno

0x02 Forum

Problem z laptopem - linux mint 16 ba...  wczoraj 23:01
     18 odpowiedzi, ostatnia: lg21, w kategorii: Linux

Update error found.  wczoraj 14:32
     2 odpowiedzi, ostatnia: Heliar, w kategorii: Windows

Image z systemu  21 października 16:50
     4 odpowiedzi, ostatnia: Cocaine, w kategorii: Windows

[ispconfig] redirect  21 października 10:09
     brak odpowiedzi, w kategorii: Linux

Programista .net - Wrocław i okolice  20 października 20:33
     brak odpowiedzi, w kategorii: Bazar

Hosting do biznesu  20 października 11:59
     4 odpowiedzi, ostatnia: dominium, w kategorii: Hydepark

Naklejka magnetyczna - jak wykonać?  15 października 11:51
     3 odpowiedzi, ostatnia: dominium, w kategorii: Hydepark

naprawa telefonu a oszustwo  14 października 14:57
     5 odpowiedzi, ostatnia: trolodk, w kategorii: Hardware

Kategorie: Sieć Administracja Programowanie Pozostałe Strona

0x06 Użytkownicy online