Piotr Konieczny

Zmiana hasła na Allegro (i inne wymuszenia)

Allegro wysłało wczoraj do użytkowników e-maile z prośbą o zmianę hasła:



Nie był to pierwszy tego typu mailing (por. artkuł w DI). Wczorajszy e-mail jest więc zapewne kontynuacją akcji rozpoczętej miesiąc temu.

Mam kilka uwag, co do całego procesu "wymuszania zmiany haseł". Część z nich zaprezentowałem już w poście opisującym współpracę Naszej Klasy z Wykopem, teraz parę słów komentarza do sprawy Allegro: Czytaj dalej... # 14 komentarzy

Zawieś Vistę i Windows 7

W sieci pojawił się pierwszy exploit, pozwalający na zdalny atak wymierzony w systemy Windows Vista i Windows 7 (a jak niektórzy twierdzą, najprawdopodobniej i Windows Server 2008). Właściciele XP i Servera 2003 mogą spać spokojnie — te systemy są bezpieczne (przynajmniej w tym przypadku :-)

Atak wykorzystuje błąd w nowym sterowniku obsługującym protokół SMB i jak mówią, pozwala zawiesić komputer ofiary, poprzez wymalowanie na jej ekranie przepięknego B.S.O.D.. Piszę "jak mówią", bo mnie nie udało się wywalić postawionej naprędce Visty Enterpise... Ale może Wam się uda — poniżej kod exploita: Czytaj dalej... # 18 komentarzy

SMS zawieszający iPhone'a

Nieważne, czy twój iPhone jest jailbreaknięty, czy nie. Nie ważne, czy masz stary czy najnowszy firmware. I tak jesteś podatny na atak zaprezentowany przez Collina Mullinera i Charliego Millera na konferencji BlackHat.

Do tej pory, aby przejąć kontrolę nad iPhonem, należało wykorzystać bugi w Safari i namówić ofiarę do odwiedzenia odpowiednio zmodyfikowanej strony WWW — teraz wystarczy tylko poznać jej numer telefonu... Czytaj dalej... # 22 komentarze

Hackowanie bankomatu przez gniazdko...

Okazuje się, że na nic zaawansowane i superbezpieczne HSM-y montowane w dzisiejszych bankomatach. Na nic też łatanie oprogramowania firmy Diebold, które jest wykorzystywane w większości nowych bankomatów. Próżno także szukać dodatkowej ochrony bankomatu w pryskaniu gazem na atakującego...

Dziś, na konferencji BlackHat, Andrea Barisani i Daniele Bianko zaprezentowali nową rodzinę ataków na bankomaty — skimming poprzez sieć elektryczną. Możecie już wyrzucić swoje mini-kamerki i tekturowe pudełka po butach — jest lepsza metoda, żeby wykraść czyjś PIN ;-) Czytaj dalej... # 28 komentarzy

Exploity na Firefox 3.5.1 (i inne przeglądarki)

Od poniedziałku, na milw0rmie dostępny jest exploit na Firefoksa 3.5. Exploit pozwala na zdalne uruchomienie dowolnego kodu na komputerze ofiary. Tu możecie sprawdzić jego działania — po kliknięciu odpali się kalkulator Windows. Czytaj dalej... # 33 komentarze

Trojan w bankomacie

Podczas mojego wykładu o Atakowaniu Bankomatów wspominałem o złośliwym oprogramowaniu, które można zainstalować na bankomacie (sic!) Jest to możliwe ponieważ większość bankomatów pracuje pod kontrolą



...cudownego Windowsa XP.

O trojanach w bankomatach firmy Diebold informowano już dobre 3 miesiące temu, dzisiaj natomiast, firma Trustwave opublikowała szczegółowy raport z analizy złośliwego kodu. I tak potwierdziły się moje przypuszczenia, że wszystkie bankomaty pracujące pod kontrolą Windows XP są narażone na infekcje (a nie tylko te od Diebolda). Czytaj dalej... # 29 komentarzy

Blip podatny na atak SMS Spoofing

Jak się okazuje, nasz rodzimy Blip całkiem dobrze kopiuje swój pierwowzór, czyli Twittera ;-) Niestety, Blip kopiuje także luki...

Dziś w Twitterze załatano możliwość podszycia się pod dowolnego użytkownika serwisu i przejęcia jego konta (w Blipie dziura nadal jest). Aby zrobić takie straszne rzeczy, wystarczyło tylko znać numer telefonu, który użytkownik zarejestrował w serwisie - tu świetnie sprawdzą się takie serwisy jak MySpace, czy Facebook (a w przypadku Blipa, Nasza-Klasa i GG dadzą radę ;) Czytaj dalej... # 14 komentarzy

Dziury w poczcie Gazeta.pl (brak)

Dzisiejszy dzień przynosi "aferę z zabezpieczeniami" systemu pocztowego Gazety.pl. Okazało się, że wysyłając e-maila na adres ankieta@gazeta.pl, jego treść zostanie rozesłana do wszystkich użytkowników Gazety...

Sekundę po upublicznieniu tejże informacji (żeby było śmieszniej, poprzez wykorzystanie wspomnianego tricku) błąd zaczęli wykorzystać użytkownicy Gazety - najpierw wysyłając do siebie śmieszne wiadomości, potem już tylko liche reklamy: Czytaj dalej... # 16 komentarzy

Pierwsza dziura w iPhone 3G!

Niedługo trzeba było czekać na pierwszą lukę w telefonie Apple. Jeden z użytkowników forum MacRumors zauważył, że na iPhone z zablokowaną klawiaturą można zrobić praktycznie wszystko... od przejrzenia wpisów w książce kontaktów do przejrzenia historii e-mailii, czy wykonania nieautoryzowanego połączenia telefonicznego. Czytaj dalej... # 20 komentarzy

Dziura w Facebooku - wyciek dat urodzin

Niedawno opisałem ciekawy trik, który pozwala poznać imię i nazwisko dowolnego użytkownika GMaila. Dziś pokażę, jak można było poznać datę urodzin użytkownika z Facebooka... Czytaj dalej... # 7 komentarzy

GMail hacking - kto kryje się za adresem e-mail?

Możesz poznać dane osobowe każdego użytkownika GMaila! Jeśli kiedyś zastanawiałeś się, kto spamuje Cię z adresu spammer@gmail.com -- zaraz będziesz miał okazję poznać jego imię i nazwisko ;-) Dowiesz się także kto jest prezydentem, kto jest skinheadem i jak na imię ma administrator GMaila... Czytaj dalej... # 26 komentarzy

Z PEKAO wyciekły setki poufnych informacji!

Szczegółowe dane osobowe i zdjęcia tysiąca osób "nieświadomie" udostępnił w internecie bank PEKAO S.A. Wszystko za sprawą serwisu zainwestujwprzyszlosc.pl skierowanych do młodych ludzi ofert stażu. Setki listów motywacyjnych i CV pełne danych osobowych można znaleźć pod adresem http://www.zainwestujwprzyszlosc.pl/files/0/ Czytaj dalej... # 37 komentarzy

[Zakały informatyki #2] Allegro i phishing

Kontynuując mój cykl aburdów informatycznych, chciałbym poruszyć sprawę dzisiejszego mailingu Allegro. Czytamy w nim: Czytaj dalej... # 33 komentarze

Nasza Klasa - Jak chronić swoje dane osobowe?

Wspomniałem w poprzednim poście, że po prawie roku bycia anonimowym na Naszej-Klasie, zdecydowałem się podać serwisowi poprawne dane osobowe. W ściśle konkretnym celu. Zależało mi na jak najszybszym zlinkowaniu się ze znajomymi w okresie przedświątecznym, by móc wspólnie wyskoczyć na piwo. I ku mojemu zaskoczeniu, zaraz po dopisaniu się do klasy, w skrzynce siedziało już 7 (sic!) zaproszeń od szkolnych kolegów!

Na początku pomyślałem, że NK wysyła informacje o nowych osobach w klasie do wszystkich zainteresowanych i stąd ta szybka odpowiedź. Ale gdzie tam! Taka opcja nie istnieje! Wniosek: ludzie naprawdę tam siedzą... i to właśnie ich aktywność jest przerażająca :-) A oto, czym grozi taka aktywność i jak możemy ją wykorzystać:

Nasza Klasa – wykradamy dane osobowe

Domyślnie, Nasza Klasa udostępnia Twój numer telefonu, numer GG, i identyfikator Skype Twoim znajomym i kolegom z klasy. Gdybym chciał je poznać, muszę tylko ...dopisać się do Twojej klasy. Tak, to jest aż tak bajecznie proste i nie wymaga żadnego uwierzytelnienia, a jedynie dwóch kliknięć myszką.



Na 10 przeprowadzonych prób (ofiary wybrane losowo), po dopisaniu do odpowiednich klas, poznałem dane osobowe 9 użytkowników portalu Nasza Klasa. Na więcej prób nie miałem ochoty, bo widok pana gąbki przyprawiał mnie o dreszcze... Czytaj dalej... # Komentarze wyłączone

Google pomyliło Polskę z Hiszpanią!

Żeby nie było, że Konieczny taki zły i tylko na Microsoft narzeka... dziś pośmiejemy się z Google ;-)



Zagadka: Której líterce Gôôgĺé ukręcíło łebek? (Podpowiedź: %c3%ad). Czytaj dalej... # 18 komentarzy

Google Spam w GMailu?

Od paru dni obserwuje, jak moja skrzynka GMailowa wypełnia się ofertami viagry, które do tej pory były skutecznie odfiltrowywane. Okazuje się, że spamerzy zaczęli wykorzystywać sposób, opisany przeze mnie na blogu już ponad rok temu — brawa za refleks :> Czytaj dalej... # 6 komentarzy

Apple robi się dziurawy? (po pokazie na AGH)

Dokładnie tydzień temu parę chwil uczestniczyłem w meetingu Jabłuszek na AGH, gdzie Paweł Nowak prezentował Leoparda, czyli świeżutki system operacyjny od Apple.

Do Mac OS X podchodziłem bardzo sceptycznie, ale pokaz Pawła trochę mnie przekonał do 'japkowego' systemu. Przekonał zwłaszcza od strony graficznej (poza paskudną tapetą :P). Wszystkie przejścia pomiędzy programami były gładkie, animacje systemowe płynne, a poszczególne elementy systemu po prostu ładne. Dlaczego, do cholery, programiści innych platform sprzętowych nie potrafią stworzyć czegoś, co ładnie wygląda? (I nie, wcale nie uważam, że design nowego Ofisa jest sóperkól).

Jak oszukać zabezpieczenia Pandora.com?

Znacie kogoś, kto pracuje przy komputerze bez muzyki? W internecie od dawna można posłuchać popularnych stacji radiowych, ale przecież każdy wie, że polskie radiostacje (poza antyradiem) ssą. Bo albo stacja ssie z definicji, albo ssie, bo "limit słuchaczy online został osiągnięty, proszę czekać".

Na szczęście żyjemy w czasach rozkwitającego ŁEB 2.0 i powstało już kilka portali "ułomnościowych", które są nakierowane na muzykę. Do dyspozycji mamy last.fm i pandora.com.

Last.fm jest przeładowane opcjami i zapamiętuje sobie, czego słuchamy lokalnie na komputerze, a następnie podsuwa nam propozycje. Niestety, w moje gusta algorytmy sugestii na last.fm trafiają rzadko. Dlatego preferuję Pandorę, dzięki której poznaję od groma ciekawych zespołów. Właściwie to poznawałem... bo uwielbiani przez nas wszystkich panowie z RIAA postanowili ograniczyć zasięg tego internetowego radia do USA...

Stąd, po wejściu na stronę pandory z polskiego IP ujrzymy coś takiego:



...ale już po wykonaniu 2 prostych czynności możemy cieszyć się pełną funkcjonalnością serwisu :>

Czytaj dalej... # 54 komentarze

Jak dziurawy jest Twój Windows?

Nikt z nas nie korzysta z gołego systemu operacyjnego. Jak zaawansowany by on nie był, z reguły instalujemy dodatkowe aplikacje. Notatnik zostaje zastąpiony przez Office'a, Paint przez Photoshopa, a toporny Windows Media Player przez jeszcze bardziej toporne iTunes ;-) I o ile Windows Update systematycznie aktualizuje nam poszczególne składniki systemu (czasem bez naszej wiedzy...), to niestety, nie poradzi sobie z doinstalowanymi aplikacjami.

Gdy "nasz" software, to tylko kilka programów, bez problemu możemy wykonać ręczną aktualizację. Ale kiedy jesteśmy szczęśliwymi posiadaczami dużego dysku i lubimy testować nowości, a na dodatek nałogowo czytamy Lifehackera lub Poradnik Webmastera (pozdrawiam), to na pewno ilość softu na naszych maszynkach rośnie w zastraszającym tempie :-) ...i ręczna aktualizacja czy aplikowanie łatek stają się mordęgą. Tu z pomocą przyjdzie PSI (nie, nie komunikator).

Secunia Personal Software Inspector

Dzięki Secunia Personal Software Inspector możemy szybko i łatwo monitorować nasz system i od razu aktualizować/łatać aplikacje, które z racji krytycznych błędów bezpieczeństwa stanowią potencjalne zagrożenie. Czytaj dalej... # 34 komentarze

Google Reader zablokował Operę

Świetny jest ten nowy update Google Readera. Jak donoszą na Joggerze, w końcu udostępniono wyszukiwarkę feedów! Myślałem, że już się nigdy nie doczekam... brawo! Aż chce się skakać z radości... Tylko dlaczego, do cholery, Opera została całkowicie zablokowana? Ja, i znajomi Operowcy, widzą wyłącznie logo Google Readera i białość nad białościami.

Ja rozumiem, że Opera może doprowadzać do szewskiej pasji programistów Google, ale Google to nie jest mała firemka, która może sobie pozwolić na wypuszczenie nowej wersji swojego oprogramowania bez sprawdzenia jej na jednej z najpopularniejszych przeglądarek!

I WANT MY FEEDS!

Update (7/9/7, 7:23): ^G Reader już działa pod Operą. Dało się? Dało! Szkoda, że nie można było tak od początku... Mam jednak nadzieję, że ta sytuacja sprawi, iż kolejne update'y serwisów Google'a będą testowane na Operze przed upublicznieniem. Czytaj dalej... # 43 komentarze

Temperatura komputera zdradza twoje IP

Czy to możliwe, żeby temperatura Twojej maszyny ujawniła Twoją sieciową tożsamość? Jak najbardziej!

Niedawno, Kohno opisał swój eksperyment polegający na identyfikowaniu ruchu maszyny, po znacznikach czasu (ang. timestamps), wykorzystując zjawisko przesunięcia czasowego (ang. clock skew), czyli niedokładność komputerowego zegara (pod wpływem zmiany temperatury).

Każdy komputer znaczy czasem wysyłane przez siebie pakiety z charakterystyczną dla niego dokładnością. Dzięki temu, możemy np. stwierdzić ile różnych (fizycznie) maszyn znajduje się za NAT-em.

Kilka dni temu, Wired opisał eksperyment Murdocha, który korzystając z odkrycia Kohno, przeprowadził atak na serwery cebulowego routingu (TOR), zapewniające anonimowość i umożliwiające omijanie restrykcyjnych firewalli. Czytaj dalej... # 22 komentarze

PSI + PGP hacking

Miałem starą parę kluczy PGP. Bardzo starą. I dziś dostałem przesyłkę, zaszyfrowaną publicznym kluczem z pary. Dogrzebałem się więc na dysku do starego klucza prywatnego. Odpaliłem GnuPG i już chciałem odszyfrować przesyłke, kiedy zorientowałem się, że nie pamiętam passphrase do klucza...

Nie ma co się załamywać, pomyślałem, wystarczy przecież przyznać się nadawcy, podesłać mu drugi (nowy) klucz i poprosić o ponowną przesyłkę. Prawda, że proste? Niestety, równie proste co naiwne... Inteligentny nadawca (a zwłaszcza taki, który chciał przesłać mi poufną treść), od razu zwęszy podstęp. Przecież dowolny cyberbandzior, który miałby ochotę na te zaszyfrowane dane, mógłby wygenerować nową pare kluczy, wysłać je w moim imieniu i poprosić o ponowiene przesłanie treści. Nadawca nie ma żadnej pewności, że osoba która wysyła mu nowy klucz jest mną. Nie ma, bo przecież nie potrafię się przed nim uwierzytelnić. Nie znając hasła do klucza prywatnego, nie mogę złożyć cyfrowego podpisu, który mógłby być możliwy do zweryfikowania przez klucz publiczny, będący w posiadaniu nadawcy). Jeśli nie zrozumiałeś powyższego akapitu, to czas się doszkolić z PKI - polecam mój wykład: PGP - is it possible to keep e-data secured? (jęz. pol.). Czytaj dalej... # 9 komentarzy

marcoos cenzuruje komentarze (i robi bugi)

...wiec skomentuje jego przytyki do dziennikarzy u siebie. Czytaj dalej... # 9 komentarzy

GMail przestał mi wysyłać maile. Zła Opera!

Używam GMaila, bo muszę. Co prawda, teraz go polubiłem i gdyby tylko obsługiwał szyfrowanie PGP zostałby moim nadwornym klientem poczty.

Dziś jednak, AJAX-owa bestia odmówiła posłuszeństwa i uparcie ignoruje próby wysyłania e-maila. Przycisk "send" nie działa. Ale tylko pod Opera...

Jako osoba, obecnie zawodowo, zajmująca się usługami Google, musze z nich korzystać i nie oszukujmy się — lubie z nich korzystać. Opera jednak staje na drodze, co mnie wkurza niesamowicie, bo właściwie jedyne procesy jakie zazwyczaj mam odpalone 24h/dobe, to właśnie przegladarka i klient ssh... Jak sobie więc poradzić z tym GMailem? Czytaj dalej... # 23 komentarze

Oops they did it again... (Google's UTF problem)

I wrote about spamming Google with UTF characters many times, so you should get the idea by now.

However, there is a new trend around. At first, I took it as a new feature described by Planet Google a few days ago (Someone wrote, that Google is going to put images from a site under corresponding results and now is testing displaying images inside AdSense units).

But I was so wrong. It's just another UTF spam, moreover it comes from Jogger!


Czytaj dalej... # 4 komentarze

Office 2007 hacked! (...i już po jeździe próbnej)

This entry contains screenshots only. Comments are needless... Czytaj dalej... # 5 komentarzy

Polish sex ads abusing Google. Again.

A few weeks ago I described the fancy way of AdWords/AdSense decorating, using special UTF characters.

It was later republished under Google Blogoscoped. You can read a comment there — a guy named MTO claims that Google contacted him and removed his UTF-enhanced ads. (At least we know they don't approve such behaviour)...

But it seems like Google, still isn't well secured against special UTF codes in ads. Czytaj dalej... # 6 komentarzy

Laptopy Della wybuchają!

Uczestnicy konferencji w Japonii stali się świadkami dość niecodziennego wydarzenia. Laptop Della (niestety, model nieznany) wyleciał w powietrze (kilka małych eksplozji) stając w płomieniach na ok. 5 minut. Czytaj dalej... # 8 komentarzy

A (nasty!) bug in Google Analytics?

Well, you didn't have to wait too long to read something really juicy on my brand new (refreshed) blog...

Today, I found a bug in Google Analytics. It seems to be possible to delete someone's profile and the entire data user gathered! After all, there is no known way (yet) to turn it back again and the account is totally unusable. (However, I hope Google do have a backup, otherwise I've lost a lot!) Czytaj dalej... # 3 komentarze

Stare (nowe) dziurki w IE i Firefox

Jak pisze redakcyjny kolega, Marcin Maj, odkryto multiplatformową dziurę umożliwiającą kradzież danych z przeglądarek Internet Explorer i Firefox. (Niewykluczone, że i Opera jest podatna, ale kod proof-of-concept nie został dla niej przedstawiony). Czytaj dalej... # 6 komentarzy