Piotr Konieczny

Atak którego nie było...

Przedczoraj na Niebezpieczniku opublikowaliśmy informację o forum, na którym ktoś umieścił hasła użytkowników (głównie polskiego internetu) do wielu, naprawdę wielu portali.

Wczoraj Sylwia Czubkowska z Dziennik.pl poprosiła mnie o komentarz do sprawy. Na pytanie (pisownia oryginalna):

Jak Państwo oceniają co to za włamanie, znaczy się po co kraść hasła w potem je upubliczniać?

odpowiedziałem:

Najprawdopodobniej chodzi tu o wzbudzenie respektu wśród społeczności phisherow/crackerow i zamanifestowanie swoich możliwości, co oczywiście może przełożyć się na realne zyski. Jeśli cracker jest wiarygodny (często postuje duże ilości *działających* haseł) to do niego w pierwszej kolejności zgłoszą się spamerzy szukajacy botnetu do wynajęcia.

A oto, co zrobił z poniższej wypowiedzi redaktor Dziennika: Czytaj dalej... # 26 komentarzy

Niebezpieczne wiadomości

...czyli wieści z pierwszych dwóch tygodni Niebezpiecznika.

Wydaje mi się, że projekt Niebezpiecznik.pl został przyjęty dość dobrze... Po dwóch tygodniach od startu mamy:

• 846 stałych czytelników przez RSS,
• 63 stałych czytelników przez e-mail
• i dokładnie 95 obserwatorów na Blipie. Czytaj dalej... # 8 komentarzy

O północy rusza Niebezpiecznik.pl

Kilka miesięcy temu wraz z paroma znajomymi doszliśmy do wniosku, że w Polsce nie istnieje żaden dobry vortal poświęcony wyłącznie zagadnieniom związanym z bezpieczeństwem komputerowym... Po paru piwach, postanowiliśmy to zmienić :)

Dziś, o północy, nastąpi premiera serwisu Niebezpiecznik.pl.

W końcu dla serwisu o tak mrocznej tematyce nie ma lepszej premiery jak przełom Halloween i Św. Zmarłych... ;-)

Czym jest Niebezpiecznik.pl?

Niebezpiecznik będzie dostarczał informacji i praktycznych porad ze świata bezpieczeństwa komputerowego. Ma służyć jako platforma komunikacji i poszerzania wiedzy zarówno dla specjalistów ds. bezpieczeństwa, pentesterów, administratorów danych osobowych, jak i zwykłych ludzi, zainteresowanych tematyką bezpiecznego korzystania z komputera i internetu. Już teraz można go zasubskrybować przez:

Zapraszam do współpracy nad Niebezpiecznikiem. Zwłaszcza tych, którzy udzielają się na tagu #security na Blipie.

Co z *grin*blogiem?

Co się zaś tyczy tego bloga — on nie umiera. Dalej będę tu pisał i o swoich prywatnych przemysleniach i o bezpieczeństwie, chociaż nie ukrywam, że większość rzeczy związanych z security będę wpychał raczej na Niebezpiecznika — dlatego, jesli chcecie być na czasie, zachęcam do subskrybcji Niebezpiecznika RSS / newsletter / Blip / Twitter.

Videopost

Jak już kilka osób zauważyło, na stronie Plusa można było (do dzisiaj :>) oglądać materiał dot. "bezpiecznych" haseł, który nagrałem na prośbę lookr.tv jako komentarz do niedawnego wycieku danych z Hotmaila i GMaila. Czytaj dalej... # 29 komentarzy

Zmiana hasła na Allegro (i inne wymuszenia)

Allegro wysłało wczoraj do użytkowników e-maile z prośbą o zmianę hasła:



Nie był to pierwszy tego typu mailing (por. artkuł w DI). Wczorajszy e-mail jest więc zapewne kontynuacją akcji rozpoczętej miesiąc temu.

Mam kilka uwag, co do całego procesu "wymuszania zmiany haseł". Część z nich zaprezentowałem już w poście opisującym współpracę Naszej Klasy z Wykopem, teraz parę słów komentarza do sprawy Allegro: Czytaj dalej... # 14 komentarzy

Nasza Klasa zresetowała mi hasło ...bo Wykop jej kazał!

Wykop.pl chyba nie nauczył się niczego na swojej niedawnej wpadce. Wczoraj dostałem takiego e-maila:



Niepokojące w powyższym są dwie rzeczy: Czytaj dalej... # 61 komentarzy

Zawieś Vistę i Windows 7

W sieci pojawił się pierwszy exploit, pozwalający na zdalny atak wymierzony w systemy Windows Vista i Windows 7 (a jak niektórzy twierdzą, najprawdopodobniej i Windows Server 2008). Właściciele XP i Servera 2003 mogą spać spokojnie — te systemy są bezpieczne (przynajmniej w tym przypadku :-)

Atak wykorzystuje błąd w nowym sterowniku obsługującym protokół SMB i jak mówią, pozwala zawiesić komputer ofiary, poprzez wymalowanie na jej ekranie przepięknego B.S.O.D.. Piszę "jak mówią", bo mnie nie udało się wywalić postawionej naprędce Visty Enterpise... Ale może Wam się uda — poniżej kod exploita: Czytaj dalej... # 18 komentarzy

Hasła użytkowników Wykop.pl wyciekły

Dziś okazało się, że pół roku kilka tygodni temu* (sic!) z Wykopu udało się ściągnąć kompletną bazę danych (w tym hasła użytkowników). Administracja Wykopu nie wspomniała o tym ani słowa, tłumacząc się teraz dość mętnie "dobrem śledztwa". Nie ma się co dziwić, nikt nie lubi się przyznawać do błędów. Szkoda tylko, że administratorzy Wykopu nie ostrzegli kilkudziesięciu tysięcy swoich użytkowników, że ktoś ma ich hasła i należałoby je zmienić, zwłaszcza w innych serwisach, jeśli (nierozsądnie) wszędzie wykorzystują to samo hasło...

Jak doszło do włamania?

Do wycieku bazy doszło poprzez włamanie nie na główny serwer Wykopu, ale na jedną z deweloperskich (służących do testów) maszyn... Prześledźmy zatem, co poszło nie tak, i jakie błędy popełniła załoga Wykopu.

Mam nadzieję, że ten case-study będzie świetną przestrogą dla wszystkich startupów, a także dobrym wyjaśnieniem tego co się stało, dla tych, którzy nie mają zbyt wielkiej wiedzy w temacie bezpieczeństwa komputerowego i czytając komentarze dotyczące włamania na Wykop.pl, nie wiedzą komu ufać i kto mówi prawdę.

Katastrofy lotnicze - jak ich uniknąć?

Zestawienie, przedstawiająca statystycznie najniebezpieczniejsze lotniska, modele samolotów, miejsca w kabinie oraz daty lotów...

W skrócie, aby uniknąć katastrofy lotniczej, nie lataj Boeingiem 737, zwłaszcza w sierpniu i do USA. Zajmuj tylko miejsca z tyłu i wystrzegaj się linii Aeroflot. Matematka nie kłamie ;-) Czytaj dalej... # 21 komentarzy

SMS zawieszający iPhone'a

Nieważne, czy twój iPhone jest jailbreaknięty, czy nie. Nie ważne, czy masz stary czy najnowszy firmware. I tak jesteś podatny na atak zaprezentowany przez Collina Mullinera i Charliego Millera na konferencji BlackHat.

Do tej pory, aby przejąć kontrolę nad iPhonem, należało wykorzystać bugi w Safari i namówić ofiarę do odwiedzenia odpowiednio zmodyfikowanej strony WWW — teraz wystarczy tylko poznać jej numer telefonu... Czytaj dalej... # 22 komentarze

Hackowanie bankomatu przez gniazdko...

Okazuje się, że na nic zaawansowane i superbezpieczne HSM-y montowane w dzisiejszych bankomatach. Na nic też łatanie oprogramowania firmy Diebold, które jest wykorzystywane w większości nowych bankomatów. Próżno także szukać dodatkowej ochrony bankomatu w pryskaniu gazem na atakującego...

Dziś, na konferencji BlackHat, Andrea Barisani i Daniele Bianko zaprezentowali nową rodzinę ataków na bankomaty — skimming poprzez sieć elektryczną. Możecie już wyrzucić swoje mini-kamerki i tekturowe pudełka po butach — jest lepsza metoda, żeby wykraść czyjś PIN ;-) Czytaj dalej... # 28 komentarzy

Gaz pieprzowy w bankomacie

Absa, jeden z afrykańskich banków wpadł na pomysł wyposażenia swoich bankomatów w miotacze gazu pieprzowego... Gaz ma zapobiegać skimmingowi, czyli próbom manipulacji przy konstrukcji bankomatu celem sczytania danych karty. Problem w tym, że ostatnio miotacze zostały przypadkowo uaktywnione przez pracujących przy bankomacie techników, a opary gazu przedostały się do reszty centrum handlowego, w którym stał bankomat. Skończyło się przyjazdem karetki... Czytaj dalej... # 8 komentarzy

Exploity na Firefox 3.5.1 (i inne przeglądarki)

Od poniedziałku, na milw0rmie dostępny jest exploit na Firefoksa 3.5. Exploit pozwala na zdalne uruchomienie dowolnego kodu na komputerze ofiary. Tu możecie sprawdzić jego działania — po kliknięciu odpali się kalkulator Windows. Czytaj dalej... # 33 komentarze

Tekturowe karty kredytowe...

Dziś, niesamowicie ubawił mnie pewien artykuł:



P.S. Przypominam, że podobne śmiesznostki związane nie tylko z bezpieczeństwem sieci, zbieram i udostępniam pod nazwą geekfun — miłego przeglądania! Czytaj dalej... # 11 komentarzy

Prezentacja o hackowaniu bankomatów odwołana

Nie, nie chodzi o moją ;-) Na początku lipca, pod naciskiem producentów bankomatów, firma Juniper zabroniła swojemu pracownikowi pokazania na konferencji BlackHat zapowiedzianej wcześniej prezentacji dotyczącej błędów w bankomatach.

Wykład Jack'a Barnaby miał zaprezentować zarówno lokalne jak i zdalne ataki na bankomaty różnych producentów. Tak szerokie potraktowanie tematu przez Barnabę może wskazywać na lukę nie w sprzęcie, a w oprogramowaniu firmy Diebold, powszechnie wykorzystywanym przez większośc producentów bankomatów. Czytaj dalej... # 11 komentarzy

2 firewalle proszę, jeden na mózg, drugi na serce

Nie jest tajemnicą, że najnowsza technologia przyśpiesza i usprawnia prawie każdy przemysł, także medyczny... Lekarze wszczepiają pacjentom różnego rodzaju implanty, począwszy od tych "pasywnych", których zadaniem jest tylko monitorować stan zdrowia pacjenta, aż po implanty "aktywne" — dawkujące leki lub pobudzające niektóre funkcje narządów wewnętrznych człowieka.

Implanty, jak to urządzenia elektromechaniczne, od czasu do czasu potrzebują zgrania zebranych danych lub drobnego przeprogramowania (rzadziej doładowania). Najczęściej do komunikacji z implantem wykorzystuje się podczerwień... i właśnie tu pojawia się pewien problem. Czytaj dalej... # 4 komentarze

Szyfrowanie poczty w GMail-u za pomocą PGP/GPG

Parę lat temu zażartowałem sobie, że w tym całym pędzie przenoszenia wszystkich naszych usług do "chmury", niezłym Security FAIL-em byłoby, gdyby taki GMail umożliwiał w swoim webinterface szyfrowanie poczty lub podpis elektroniczny ...i że pewnie byłoby to możliwe tylko pod warunkiem, że wcześniej wgramy nasze poufne klucze wprost na serwery Google :>



Dla osób, które z GMaila korzystają codziennie i bardzo brakuje im możliwości szyfrowania/podpisu elektronicznego poczty wprost z webinterface'u mam dobrą wiadomość. Okazuje się, że żarty żartami, ale można całkiem łatwo i bezpiecznie zintegrować kryptografię (PGP/GPG) z praktycznie dowolną usługą webową -- poniżej pokażę to na przykładzie GMaila (i systemu Windows — użytkownicy innych systemów są zazwyczaj na tyle sprawni technologicznie, że będą w stanie przeprowadzić analogię w stosunku do swojego ulubionego OS-a). Czytaj dalej... # 21 komentarzy

Trojan w bankomacie

Podczas mojego wykładu o Atakowaniu Bankomatów wspominałem o złośliwym oprogramowaniu, które można zainstalować na bankomacie (sic!) Jest to możliwe ponieważ większość bankomatów pracuje pod kontrolą



...cudownego Windowsa XP.

O trojanach w bankomatach firmy Diebold informowano już dobre 3 miesiące temu, dzisiaj natomiast, firma Trustwave opublikowała szczegółowy raport z analizy złośliwego kodu. I tak potwierdziły się moje przypuszczenia, że wszystkie bankomaty pracujące pod kontrolą Windows XP są narażone na infekcje (a nie tylko te od Diebolda). Czytaj dalej... # 29 komentarzy

Uśmiechnięty terrorysta to nieuchwytny terrorysta!

Coraz więcej stanów w USA zakazuje swoim mieszkańcom uśmiechania się podczas wyrabiania zdjęć do Prawa Jazdy. Powodem są tak naprawdę kiepskie systemy monitoringu, których zadaniem jest rozpoznawanie twarzy w tłumie ludzi m.in. na lotniskach i zatłoczonych ulicach. Oprogramowanie działa na zasadzie porównania obrazu z kamery z bazą zdjęć obywateli. Niestety, większość Amerykanów na lotniskach/ulicach jest raczej poważna (czyżby zatroskani kryzysem?), a zdjęcia w rządowej bazie najwyraźniej uśmiechnięte, co powoduje, że zaawansowany system ochrony za miliony dolarów nie jest w stanie skutecznie identyfikować terrorystów ;-) Czytaj dalej... # 13 komentarzy

Atakowanie Bankomatów (prezentacja w PDF)

I już po konferencjach SFI, Seconference, Confidence i Infoshare... Mam nadzieję, że mój wykład się podobał ;-) Dziękuję wszystkim, z którymi udało mi się zamienić parę słów po prelekcji i przepraszam, że nie każdemu mogłem poświęcić tyle czasu, ile chciałbym.

Relację z konferencji zdam w osobnych postach, a już teraz chciałem Wam podać linka do długo wyczekiwanej prezentacji: Atakowanie Bankomatów [PDF] Czytaj dalej... # 29 komentarzy

Konferencja Infoshare 2009, Gdańsk

Już co prawda po Confidence, ale to nie koniec sezonu konferencyjnego. Pod koniec tego tygodnia wybieram się do Gdańska, gdzie podczas Infoshare 2009 opowiem o atakach na urządzenia elektromechaniczne tym, którym nie chciało się ostatnio dojechać do Krakowa ;-)

Zaraz po wykładzie spróbuję porównać na blogu SFI, SEConference, Confidence i Infoshare. Do ściągnięcia natomiast udostępnie długo wyczekiwanego PDF-a z prezentacją "Atakowanie Bankomatów" i opublikuję nazwiska osób, które wygrały hackerskie t-shirty :-)

To tyle na dziś - jak zwykle częściej można przeczytać mnie na Blipie :-) (tam też będę relacjonował przebieg tegorocznej Infoshare). Czytelników bloga z północy zapraszam na konferencję i proponuję spotkanie przed/po wykładzie w Piątek &mdash wpisujcie miasta ;-P Czytaj dalej... # 10 komentarzy

Kradzież tożsamości

Przeglądając sieć, trafiłem na serwis MyIDScore, którego zadaniem jest pomóc internautom w przypadku kradzieży tożsamości. MyIDScore oferuje formularz, po wypełnieniu którego, pokazuje "osobisty wynik" szacujący, jak duże ryzyko wiąże się z kradzieżą dokładnie naszej tożsamości...



Moim zdaniem, jeśli komukolwiek w ogóle przyjdzie na myśl wypełnić ten formularz i wcisnąć "continue" powinien zobaczyć co następuje:



Jak myślicie... jakie szanse na kradzież tożsamości ma ktoś, kto na pierwszej lepszej stronie poda swoje dane osobowe wraz z numerem SSN? ;-) Czytaj dalej... # 14 komentarzy

Tydzień bezpieczeństwa IT w Krakowie

Przyszły tydzień, to nieustające wykłady dotyczące bezpieczeństwa sieciowego na dwóch, następujących po sobie konferencjach: OWASP AppSec EU (11-14 maja) oraz piąta edycja polskiej Confidence (15-16 maja). Jeśli jeszcze nie macie biletów, to mam dla was niespodziankę: Czytaj dalej... # 7 komentarzy

Zabezpieczanie połączenia Jabber na Dreamhost

Ci, z Was, którzy korzystają z serwera Jabbera w swojej domenie osadzonej na Dreamhoscie zapewne zauważyli, że nie mogą połączyć się z serwerem za pomocą bezpiecznego protokołu (TLS/SSL). To naraża użytkowników na ataki MITM i możliwość podsłuchania prowadzonej rozmowy. Nie wierzysz? Odpal Wiresharka, napisz coś do kogoś na Jabberze, a następnie w polu filtr wpisz "tcp.port == 5222" — wewnątrz pokazanych pakietów znajdziesz treść swoich rozmów. Czytaj dalej... # 7 komentarzy

Atakowanie bankomatów w tę sobotę w Krakowie

photo by punture

W bardzo zacnym gronie przyjdzie mi wygłosić wykład pt. "Atakowanie Bankomatów" podczas krakowskiego Studenckiego Festiwalu Informatycznego. Wśród tegorocznych prelegentów Jerzy Grębosz (autor Symfonii C++), Roman Kluska (założyciel Optimusa i Onetu) oraz Ryszard Tadeusiewicz (exrektor mojej 50% exAlma Mater). No no, trzeba przyznać, że organizatorzy zadbali o doborową obsadę, osobiście mocno cieszy mnie, że o bezpieczeństwie komputerowym nie będę mówił tylko ja... Czytaj dalej... # 35 komentarzy

Blip podatny na atak SMS Spoofing

Jak się okazuje, nasz rodzimy Blip całkiem dobrze kopiuje swój pierwowzór, czyli Twittera ;-) Niestety, Blip kopiuje także luki...

Dziś w Twitterze załatano możliwość podszycia się pod dowolnego użytkownika serwisu i przejęcia jego konta (w Blipie dziura nadal jest). Aby zrobić takie straszne rzeczy, wystarczyło tylko znać numer telefonu, który użytkownik zarejestrował w serwisie - tu świetnie sprawdzą się takie serwisy jak MySpace, czy Facebook (a w przypadku Blipa, Nasza-Klasa i GG dadzą radę ;) Czytaj dalej... # 14 komentarzy

Trojan na Mac OS X

On istnieje! Naprawdę! I jest tak samo wstrętny jak większość malware'u pisanego na Windowsy! Poważnie, nie ma znaczenia czy korzystasz z Windows, czy z Linuksa, czy z Mac OS X - jeśliś zainfekowany, na każdym systemie czeka Cię to samo (i nie jest to nic dobrego... ;-) Czytaj dalej... # 43 komentarze

Dziury w poczcie Gazeta.pl (brak)

Dzisiejszy dzień przynosi "aferę z zabezpieczeniami" systemu pocztowego Gazety.pl. Okazało się, że wysyłając e-maila na adres ankieta@gazeta.pl, jego treść zostanie rozesłana do wszystkich użytkowników Gazety...

Sekundę po upublicznieniu tejże informacji (żeby było śmieszniej, poprzez wykorzystanie wspomnianego tricku) błąd zaczęli wykorzystać użytkownicy Gazety - najpierw wysyłając do siebie śmieszne wiadomości, potem już tylko liche reklamy: Czytaj dalej... # 16 komentarzy

Hakin9 12/2008 - recenzja

W ramach mojej współpracy z siecią reklamową Blogvertising, przyszło mi napisać recenzję magazynu Hakin9. Postaram się nie traktować pisma po macoszemu, mimo, że do Hakin9u mam pewien "sentyment", bo jakiś czas temu, sam do niego pisywałem. Wtedy byłem pewien, że pismo stoi na wysokim poziomie, bo znałem redaktora naczelnego oraz część redakcji :-)

Później jednak, z Hakin9iem stało się coś dziwnego ...i większość osób znających się na rzeczy odeszła, a artykuły, które zaczęły się pojawiać, były powtarzającymi się w kółko przedrukami zagranicznych autorów. Jakby tego było mało, redaktorzy naczelni zmieniali się co miesiąc... Ponieważ współpraca z osobami nie mającymi pojęcia o bezpieczeństwie komputerowym (a niestety, często także i o kulturze osobistej) nie należała do przyjemnych, poszedłem w ślady innych i również przestałem współpracować z pismem.

Teraz, po przeszło półtora roku, mam wrażenie, że w rękach trzymam inną gazetę. Zmieniła się oprawa graficzna, a większość artykułów wyszła spod pióra Polaków. Czyżby pismo wróciło do dawnej formy? Przekonajmy się... Czytaj dalej... # 17 komentarzy

Jak zawiesić Nokie (Symbiana) jednym SMS-em?

Jak już wczoraj pisałem na blipie, wystarczy wysłać jeden SMS na telefon firmy Nokia, aby ten całkowicie przestał odbierać nowe wiadomości tekstowe i MMS-y. Wszystkie komórki Nokii bazujące na systemie Symbian Series 60 (2.6, 2.8, 30. i 3.1) są podatne na poniższy atak.
Nie wiesz, jak sprawdzić którą wersję Symbiana ma twoja Nokia - kliknij tu. Czytaj dalej... # 45 komentarzy

Remote Exploit na Livebox TP?

Wczoraj, polska grupa Dark Coders opublikowała na liście dyskusyjnej Bugtraq exploit pozwalający na przeprowadzenie ataku typu DoS na Liveboksa, czyli na popularny modem dla Neostrady TP. Ponieważ exploit został opisany jako remote (ang. "zdalny"), na użytkowników Neostrady padł blady strach... ;-) Czy faktycznie, osoby korzystające z Liveboksa mają się czego obawiać? Niektórzy tak... Czytaj dalej... # 21 komentarzy

Groźne ciasteczka Flashowe (Flash Cookies)

Zapewne większość z Was spotkało się z internetowymi ciasteczkami i mniej więcej kojarzy zasadę ich działania. O tym, jak naruszają one prywatność internautów powstało już wiele tekstów... Niektórzy paranoicy (w tym ja) albo je blokują albo regularnie usuwają, między innymi po to, żeby nie być ,,śledzonym'' przez agencje reklamowe czy skrypty statystyk Gemiusa. Problem w tym, że niektórych ciastek usunąć się nie da, bo w ogóle nie widać ich w przeglądarce! Czytaj dalej... # 56 komentarzy

Pierwsza dziura w iPhone 3G!

Niedługo trzeba było czekać na pierwszą lukę w telefonie Apple. Jeden z użytkowników forum MacRumors zauważył, że na iPhone z zablokowaną klawiaturą można zrobić praktycznie wszystko... od przejrzenia wpisów w książce kontaktów do przejrzenia historii e-mailii, czy wykonania nieautoryzowanego połączenia telefonicznego. Czytaj dalej... # 20 komentarzy

Atakowanie bankomatów, czyli darmowa forsa

Chciałem Was serdecznie zaprosić do głosowania na mój wykład dotyczący przełamywania zabezpieczeń w urządzeniach elektroniczno-mechanicznych, takich jak: bankomaty, budki telefoniczne, parkometry, dystrybutory Coca-Coli, czy liczniki gazowe.

Wykład odbędzie się w ramach Spotkań Jesiennych, czyli dorocznej konferencji PTI w Wiśle, na którą, w imieniu organizatorów, serdecznie Was zapraszam.

Aby zobaczyć wykład, trzeba na niego zagłosować. A żeby na niego zagłosować, należy się zarejestrować ;-) Warto, bo można za darmo uzyskać wstęp na prestiżową konferencję i pokój z wyżywieniem w ekskluzywnym hotelu Gołębiewski na 4 dni ;) Basen mają wyśmienity. A organizatorzy dotrzymują słowa z nagrodami - to mogę osobiście potwierdzić ;)

Tak więc, jeśli chcesz poznać sposób na darmową colę, bezpłatne rozmowy telefoniczne czy oszukiwanie bankomatu — zarejestruj się i zagłosuj :)

P.S. Póki co można się tylko rejestrować w systemie. Głosowanie wystartuje 20 sierpnia. Dlaczego rejestrować się już teraz? Bo po starcie głosowania rejestracja zostaje zamknięta i szansa na nagrodę może przepaść.

Dziura w Facebooku - wyciek dat urodzin

Niedawno opisałem ciekawy trik, który pozwala poznać imię i nazwisko dowolnego użytkownika GMaila. Dziś pokażę, jak można było poznać datę urodzin użytkownika z Facebooka... Czytaj dalej... # 7 komentarzy

GMail hacking - kto kryje się za adresem e-mail?

Możesz poznać dane osobowe każdego użytkownika GMaila! Jeśli kiedyś zastanawiałeś się, kto spamuje Cię z adresu spammer@gmail.com -- zaraz będziesz miał okazję poznać jego imię i nazwisko ;-) Dowiesz się także kto jest prezydentem, kto jest skinheadem i jak na imię ma administrator GMaila... Czytaj dalej... # 26 komentarzy

Jestem za karaniem piratów!

Poważnie. Chciałbym, żeby zgodnie z planami Ministerstwa Kultury, nowelizacja prawa autorskiego pozwalała dostawcom internetu karać odłączeniem sieci swoich klientów, jeśli ściągają oni pirackie filmy i muzykę z Internetu. Co więcej, mam nadzieję, że ISP będą skrupulatnie korzystać z tego prawa. Dlaczego? Czytaj dalej... # 26 komentarzy

Z PEKAO wyciekły setki poufnych informacji!

Szczegółowe dane osobowe i zdjęcia tysiąca osób "nieświadomie" udostępnił w internecie bank PEKAO S.A. Wszystko za sprawą serwisu zainwestujwprzyszlosc.pl skierowanych do młodych ludzi ofert stażu. Setki listów motywacyjnych i CV pełne danych osobowych można znaleźć pod adresem http://www.zainwestujwprzyszlosc.pl/files/0/ Czytaj dalej... # 37 komentarzy

Barcamp w Poznaniu i Infoshare w Gdańsku

Ostatnio ciężko spotkać mnie na blogu. Wciąż rozleniwiony dłuuuuugim weekendem obiecuję poprawę i w ramach rekompensaty, tym straszniestęsknionym proponuję spotkania na żywo :-)

Najbliższe terminy, w których możemy napić się piwa i porozmawiać o bezpieczeństwie komputerowym to:

• Poznań: Barcamp (Sobota, 10 maja, godz. 13:00 w klubie Johnny Rocker na Wielkiej)

• Gdańsk: Infoshare (Środa, Czwartek, 14-15 maja, Wydział Zarządzania i Ekonomii Politechniki Gdańskiej, ul. Traugutta 79)

Serdecznie zapraszam, także osoby, które w światku IT security dopiero stawiają pierwsze kroki, albo po prostu interesują się tym co z mroku ;-) Naprawdę miło będzie mi w końcu spotkać kilku z Was i odwirtualnić po trosze naszą znajomość :)

Jak wygląda bankomat od środka?

Mając wczoraj (wątpliwą) przyjemność przebywania na dworcu Warszawa Centralna, uprzyjemniałem sobie oczekiwanie obserwacją hali, aż tu nagle pojawił się ...otwarty bankomat:



Jak widać, oprogramowanie bankomatu pracuje pod kontrolą systemu Windows XP. Serwisanci najprawdopodobniej wykonywali kalibrację kamery — na mini-laptopie postawionym na górze bankomatu widać podgląd z kamerki bankomatu. Czytaj dalej... # 29 komentarzy

Czy jesteś Internautą 2.0?

Dziś mały security-research. Jeśli masz chwilę, odpowiedz proszę na dwa pytania: Czytaj dalej... # 64 komentarze

[Zakały informatyki #2] Allegro i phishing

Kontynuując mój cykl aburdów informatycznych, chciałbym poruszyć sprawę dzisiejszego mailingu Allegro. Czytamy w nim: Czytaj dalej... # 33 komentarze

Nasza Klasa - Jak chronić swoje dane osobowe?

Wspomniałem w poprzednim poście, że po prawie roku bycia anonimowym na Naszej-Klasie, zdecydowałem się podać serwisowi poprawne dane osobowe. W ściśle konkretnym celu. Zależało mi na jak najszybszym zlinkowaniu się ze znajomymi w okresie przedświątecznym, by móc wspólnie wyskoczyć na piwo. I ku mojemu zaskoczeniu, zaraz po dopisaniu się do klasy, w skrzynce siedziało już 7 (sic!) zaproszeń od szkolnych kolegów!

Na początku pomyślałem, że NK wysyła informacje o nowych osobach w klasie do wszystkich zainteresowanych i stąd ta szybka odpowiedź. Ale gdzie tam! Taka opcja nie istnieje! Wniosek: ludzie naprawdę tam siedzą... i to właśnie ich aktywność jest przerażająca :-) A oto, czym grozi taka aktywność i jak możemy ją wykorzystać:

Nasza Klasa – wykradamy dane osobowe

Domyślnie, Nasza Klasa udostępnia Twój numer telefonu, numer GG, i identyfikator Skype Twoim znajomym i kolegom z klasy. Gdybym chciał je poznać, muszę tylko ...dopisać się do Twojej klasy. Tak, to jest aż tak bajecznie proste i nie wymaga żadnego uwierzytelnienia, a jedynie dwóch kliknięć myszką.



Na 10 przeprowadzonych prób (ofiary wybrane losowo), po dopisaniu do odpowiednich klas, poznałem dane osobowe 9 użytkowników portalu Nasza Klasa. Na więcej prób nie miałem ochoty, bo widok pana gąbki przyprawiał mnie o dreszcze... Czytaj dalej... # Komentarze wyłączone

[geek] Zamiast kłamliwych świątecznych życzeń...

...dedykuję Wam piosenkę specjalistów ds. bezpieczeństwa sieciowego:

Czytaj dalej... # 4 komentarze

Sekrety Microsoft.com: Nie używamy firewalli!

Kilka dni temu, Jeff Alexander, jeden z inżynierów Microsoftu z Australii opublikował na swoim blogu ciekawe fakty dotyczące (braku?) bezpieczeństwa serwerów microsoft.com. Wpis wbił niezłą szpilę w reputację Microsoftu ...i został bez słowa komentarza bardzo szybko usunięty. Ciekawe, czy Jeff stracił noworoczą premię za ten brak lojalności wobec pracodawcy? ;-)

Chociaż post nie jest już osiągalny u źródła, łatwo możemy go wyszperać (w myśl zasady "Co raz zostało opublikowane w internecie, będzie tam na zawsze"). Po nieskomplikowanej operacji użycia Googlowego (o ironio!) cache (mirror), możemy się dowiedzieć, że...

At this point we still don't use firewalls for MS.COM sites and don't have any plans on the books to put them in place.

Google Spam w GMailu?

Od paru dni obserwuje, jak moja skrzynka GMailowa wypełnia się ofertami viagry, które do tej pory były skutecznie odfiltrowywane. Okazuje się, że spamerzy zaczęli wykorzystywać sposób, opisany przeze mnie na blogu już ponad rok temu — brawa za refleks :> Czytaj dalej... # 6 komentarzy

Zakały informatyki

Każdą z grup zawodowych cechuje pewien podzbiór nieudaczników. Muzycy mają gwiazdy Disco-Polo, politycy Leppera, kibice Rasiaka. Są niedzielni kierowcy, łódzkie pogotowie i nagrody Darwina. Jak widać, kiepskich wykonawców różnych zawodów nie brakuje... A co tam panie w informatyce^Wsecurity?

Otóż powstał ostatnio nowy sajberportal, firmowany marką znanego i skądinąd szanowanego przeze mnie specjalisty ds. zabezpieczeń. Oto, co możemy na nim wyczytać: Czytaj dalej... # 49 komentarzy

Google Open House i wykład lcamtufa

Dwa dni po poniedziałkowym Google TechTalk odbyła się kolejna impreza zorganizowana przez Google. Tym razem event nie był ogłaszany w prasie (był zamknięty i na zaproszenie). Impreza bardziej nakierowana na przechwycenie pracowników konkurencyjnych firm, niż studentów chcących załapać się na praktyki :-)

Przed wykładem...

Spotkanie zaczęło się od odszukania swojego identyfikatora. Mniej szczęśliwi musieli jeszcze postać przez chwilę w dłuuuugiej kolejce, ale formalności zostały nagrodzone smyczą z logo Google i loterią, w której można było wygrać iPoda.

Czytaj dalej... # 18 komentarzy

Google Tech Talk w Krakowie (Relacja)

Dziś[1] na AGH, Alma Whitten wygłosiła prelekcję pt. Google's Warehouse Scale Computing. Po wykładzie Alma przybliżyła słuchaczom, jak wygląda proces rekrutacji do Google, a następnie wraz z pracownikami krakowskiego biura Google odpowiadała na pytania z sali. Czytaj dalej... # 23 komentarze

Apple robi się dziurawy? (po pokazie na AGH)

Dokładnie tydzień temu parę chwil uczestniczyłem w meetingu Jabłuszek na AGH, gdzie Paweł Nowak prezentował Leoparda, czyli świeżutki system operacyjny od Apple.

Do Mac OS X podchodziłem bardzo sceptycznie, ale pokaz Pawła trochę mnie przekonał do 'japkowego' systemu. Przekonał zwłaszcza od strony graficznej (poza paskudną tapetą :P). Wszystkie przejścia pomiędzy programami były gładkie, animacje systemowe płynne, a poszczególne elementy systemu po prostu ładne. Dlaczego, do cholery, programiści innych platform sprzętowych nie potrafią stworzyć czegoś, co ładnie wygląda? (I nie, wcale nie uważam, że design nowego Ofisa jest sóperkól).