haxite.org

What I cannot create, I do not understand. - Richard Feynman


0x01 Aktualności


Klucze Bitlockera wysyłane do chmury Microsoftu

4 listopada 12:42   0   daw_id   Bezpieczeństwo

Klucze Bitlockera są automatycznie wysyłane do chmury Microsoftu OneDrive (SkyDrive). NSA ma więc do nich dostęp i szyfrowanie Bitlockerem nie stanowi dla tej agencji dużego zagrożenia. Czy ktoś czuje się zaskoczony? :>
Warto w tym kontekście przypomnieć już wówczas podejrzane "zalecenia" twórców TrueCrypta z okazji zamknięcia projektu [link]. Doradzali oni przejście na Bitlockera jako rozwiązanie bezpieczniejsze od TrueCrypta.
Więcej informacji: http://niebezpiecznik.pl/post/klucze-bitlockera-sa-automatycznie-wysylane-do-chmury-microsoftu-onedrive-skydrive/ Apple wiedziało o słabych zabezpieczeniach iCloud na długo przed wyciekiem nagich zdjęć

29 września 05:49   2   Yans   Bezpieczeństwo

Wyciek prywatnych (i w wielu przypadkach nagich) zdjęć celebrytek – zwany The Fappening – negatywnie odbił się nie tylko na samych poszkodowanych, ale też na firmie Apple. Dlaczego? Ponieważ to właśnie z jej usługi chmurowej iCloud wykradzione miały zostać materiały. Gigant z Cupertino przyznał, że faktycznie konta aktorek, wokalistek i innych gwiazd zostały zhakowane. Wydawałoby się więc, że Apple zagrało fair – okazuje się jednak, że sprawa sięga znacznie głębiej.

Brytyjczyk Ibrahim Balic – specjalista ds. bezpieczeństwa – na wiele miesięcy przed aferą wysłał wiele raportów do firmy Apple, w których pisał, że jej usługa iCloud jest podatna na ataki typu brute-force. Polegają one na próbie złamania hasła dzięki wykorzystaniu algorytmu sprawdzającego wszystkie możliwości. Balic próbował skontaktować się z Apple zarówno poprzez e-mail, jak i system raportowania błędów.

W e-mailu z dnia 26 marca Ibrahim Balic napisał do pracownika firmy Apple: „Znalazłem nowy problem dotyczący kont Apple (sic)… Korzystając z ataków brute-force mogę wypróbować więcej niż 20 000 haseł dla każdego konta. Myślę, że powinna zostać wprowadzona blokada konta. Dołączam też zrzut ekranu. Zgłaszałem ten sam problem firmie Google i otrzymałem od nich odpowiedź”. I od Apple również taką odpowiedź otrzymał. Brzmiała ona: „Dobrze wiedzieć, dziękujemy za informację”.

Balic zgłosił ten problem także poprzez system raportowania błędów

Apple odpowiedziało Balicowi dopiero w maju: „na podstawie przekazanych przez Ciebie informacji wynika, że odnalezienie prawidłowego hasła zajęłoby niezwykle dużo czasu. Uważasz, że znasz sposób na uzyskanie dostępu do konta w stosunkowo krótkim czasie?” – spytał specjalista ds. bezpieczeństwa podpisujący się imieniem Brandon.

Balic przyznał w rozmowie z Daily Dot, że Apple zamiast rozwiązać ten problem wciąż dopytywało go czy istnieją sposoby na szybkie przejęcie konta. No i cóż – wygląda na to, że się doigrało.
Bash pozwala na zdalne wykonanie kodu

25 września 10:59   3   dominium   *nix

Uwaga na CVE-2014-6271 — dzięki tej podatności w bashu (ale również sh i zsh, jak twierdzą niektórzy) można wykonać własny kod poprzez odpowiednią manipulację zmiennymi środowiskowymi.

Więcej informacji: https://securityblog.redhat.com/2014/09/24/bash-specially-crafted-environment-variables-code-injection-attack/
Wyrafinowany atak na największych dostawców poczty elektronicznej

11 września 12:59   3   ~off   Bezpieczeństwo

Wygląda na to, że w ciągu ostatniego roku bliżej niesprecyzowana część poczty wysyłanej na skrzynki w domenach Google, Yahoo czy Microsoftu mogła przechodzić przez podstawione serwery. Kto, jak i po co mógł prowadzić taki atak?
Więcej informacji: http://zaufanatrzeciastrona.pl/post/wyrafinowany-atak-na-najwiekszych-dostawcow-poczty-elektronicznej/ Polska ominie standardy prywatności na prośbę USA - umowa ws. FATCA

21 sierpnia 12:44   2   ~dii   Prawo

Polski rząd zapowiedział, że podpisze ze Stanami Zjednoczonymi umowę ws. wykonania FATCA. Jej celem jest ominięcie polskiego prawa w zakresie ochrony prywatności na życzenie USA. Narzędziem do tego będzie porozumienie międzyrządowe.

Niby w Polsce mamy jakieś prawo i wypracowane standardy w różnych kwestiach, ale co jakiś czas słyszymy o umowach międzynarodowych, które mają te standardy zmienić. Tak było z ACTA i tak może być z TTIP i CETA. Ciągle odnosimy wrażenie, że dyplomaci na szczeblu międzynarodowym chcą przepchnąć coś, na co w poszczególnych krajach nikt by się nie zgodził.
Więcej informacji: http://di.com.pl/news/50458.html Copyright trolling – teraz w Polsce?

22 lipca 14:17   49   dominium   Prawo

Od niedawna obserwujemy w Polsce bardzo niebezpieczne zjawisko, które nowi nazwę „Copyright trolling”. Niewątpliwie prekursorem tych działań jest kancelaria prawna Anny Łuczak, która trudni się wysyłaniem pism ugodowych w związku z domniemanym udostępnianiem filmów w sieciach p2p. Problem jest dość poważny w związku z instrumentalnym wykorzystaniem prokuratury celem zdobycia danych osobowych właściciela punktu dostępowego do sieci Internet.

Więcej informacji: http://www.internetblackout.org/copyright-trolling-teraz-w-polsce,0.html
Hackme CTF - kolejna edycja gry od UW-Team.org

12 czerwca 09:34   3   imlmpe   Bezpieczeństwo

Opublikowana została nowa wersja gry Hackme, autorstwa Unknowa z UW-Team.org.
Tym razem w rozgrywce zastosowano konwencję capture-the-flag, która polega na odnajdywaniu w spreparowanej aplikacji webowej, ukrytych znaczników (tzw. flag). Zebranie wszystkich flag wymaga obeznania z tematyką webdevelopmentu jak i web security.
Jedyną niedogodnością w tej wersji gry jest konieczność zalogowania się do niej za pomocą konta w dowolnej sieci społecznościowej.
Więcej informacji: http://ctf.uw-team.org Privacy @ Facebook? Yeah right...

2 czerwca 19:48   0   Cocaine   Bezpieczeństwo

Atakujący jest w stanie poznać listę pozornie ukrytych znajomych wykorzystując funkcję "wspólnych znajomych".

Więcej tu. POC w linku głownym.
Więcej informacji: https://www.youtube.com/watch?v=NSWU9ZfiSkE Wnioski o "bycie zapomnianym" przez Google można już składać online

31 maja 11:11   0   dominium   Bezpieczeństwo

Google udostępniła formularz dla osób, które chciałyby być "zapomniane" czyli chciałyby wymazać z Google jakieś linki na swój temat. To bardzo wyraźny skutek niedawnego wyroku Europejskiego Trybunały Sprawiedliwości.
Więcej informacji: http://di.com.pl/news/49997,0,Wnioski_o_bycie_zapomnianym_przez_Google_mozna_juz_skladac_online-Marcin_Maj.html Truecrypt odchodzi w niepamięć

29 maja 10:42   3   Cocaine   Bezpieczeństwo

Anonimowi programiści odpowiedzialni za rozwój i utrzymanie kodu otwartoźródłowego programu do szyfrowania najwyraźniej zarzucili swój projekt w tym tygodniu. Strona domowa programu truecrypt informuje użytkowników, że ich produkt nie jest już bezpieczny po tym jak Microsoft porzucił wsparcie dla systemu Windows XP.

W ciagu ostatnich 24 godzin strona truecrypt.org zaczeła przekierowywać użytkowników na odpowiednik w domenie sourceforge.net. Strona, na którą jest przekierowanie zawiera instrukcje pomocy dla użytkowników systemu Windows pomagające w migracji dysków zaszyfrowanych programem Truecrypt do szyfrowania z użyciem technologii Microsoftu o nazwie Bitlocker.
Więcej informacji: http://krebsonsecurity.com/2014/05/true-goodbye-using-truecrypt-is-not-secure/ Adrian Oleszczuk żąda danych Czytelników DI i grozi postępowaniami

24 kwietnia 10:25   3   dominium   Prawo

Opisywany w DI Adrian Oleszczuk zażądał informacji o Czytelnikach, którzy komentowali jego działania. Przypomnimy pokrótce, że serwisy tego pana oferują zawarcie umowy o dzieło, i wystarczy do tego sama rejestracja w serwisie. W praktyce może się okazać, że zamiast pracy dostaniesz 660 zł długu.


Link do wykopu, może więcej ludzi dowie się o działaniach tego pana: http://www.wykop.pl/link/1962174/adrian-oleszczuk-zada-danych-czytelnikow-di-i-grozi-postepowaniami/

Uwaga na e-praca.vv.net.pl. Zamiast pracy możesz mieć 660 zł długu

23 kwietnia 17:06   0   dominium   Prawo

W sieci pojawił się kolejny serwis oferujący pracę na umowę o dzieło, gdzie do zawarcia umowy wystarczy rejestracja, ale odstąpienie od niej może kosztować 660 zł. Wypłacenie wynagrodzenia za pracę wcale nie jest gwarantowane umową zawieraną elektronicznie.

źródło: http://di.com.pl/news/49793,0,Uwaga_na_e-pracavvnetpl_Zamiast_pracy_mozesz_miec_660_zl_dlugu-Marcin_Maj.html
Krytyczna podatność w OpenSSL

15 kwietnia 10:37   3   daw_id   Bezpieczeństwo

W ostatnich tygodniach odkryto krytyczną podatność w OpenSSL, obecną w kodzie od ok. 2 lat. Z biblioteki tej korzysta znaczna część szyfrowanych połączeń w Internecie. Dziura pozwala na podsłuch przesyłanych danych.
Powstała strona dedykowana tej podatności: http://heartbleed.com/
Więcej informacji można też znaleźć na http://niebezpiecznik.pl/post/krytyczna-dziura-w-openssl-ponad-65-serwerow-w-internecie-podatnych-na-podsluch-i-to-od-2-lat
Winamp został kupiony przez Radionomy

7 stycznia 10:13   3   trolodk   Aplikacje użytkowe

Ogłoszenie zakończenia rozwijania aplikacji Winamp wywołało niezwykłe poruszenie w sieci. Wielu użytkowników było zaskoczonych, inny próbowali uwolnić źródła aplikacji podpisując się pod petycją, zaś giganci bardzo pragnęli przygarnąć pod swoją banderę niezły kąsek wraz z całym wachlarzem usług. Coś jest jednak na rzeczy, ponieważ po upływie daty śmierci witryna winamp.com nadal jest dostępna w sieci.
Więcej informacji: http://osnews.pl/winamp-zostal-kupiony-przez-radionomy/ Liczne błędy w Google Picasa

7 stycznia 10:11   0   trolodk   Bezpieczeństwo

Napastnik może wykorzystać liczne dziury w Google Picasa i przeprowadzić atak na system operacyjny. Błąd niedomiaru liczby całkowitej w module Picasa3.exe podczas przetwarzania tagów JPEG może zostać wykorzystany do wywołania przepełnienia bufora. W tym samym module występuje błąd przekroczenia zakresu liczby całkowitej, który ujawnia się w czasie przetwarzania tagów TIFF. Również i on może zostać wykorzystany do przepełnienia bufora.
Więcej informacji: https://www.arcabit.pl/virnews/liczne_bledy_w_google_picasa

0x02 Forum

Sprawdzenie czy dany email istnieje  18 listopada 11:53
     3 odpowiedzi, ostatnia: radmen, w kategorii: Newbie

X forwarding na windowsie  18 listopada 10:11
     4 odpowiedzi, ostatnia: exylum, w kategorii: Windows

Problem z instalacją XP  8 listopada 10:18
     3 odpowiedzi, ostatnia: trolodk, w kategorii: Windows

[Python][Bash] różne skrypty  6 listopada 14:00
     brak odpowiedzi, w kategorii: Skrypty

[bash]export png files to pdf  5 listopada 15:38
     brak odpowiedzi, w kategorii: Skrypty

Zestaw książek - PHP, C++, AJAX  2 listopada 21:38
     brak odpowiedzi, w kategorii: Bazar

Problem z laptopem - linux mint 16 ba...  30 października 17:50
     23 odpowiedzi, ostatnia: daw_id, w kategorii: Linux

Opiekun i Hex  24 października 19:40
     4 odpowiedzi, ostatnia: toybro, w kategorii: Newbie

Kategorie: Sieć Administracja Programowanie Pozostałe Strona

0x06 Użytkownicy online

Jakub