Niebezpiecznik

Ciekawa przygoda spotkała jednego z naszych Czytelników: Ok 3 miesiące temu syn dostał służbową kartę (wcześniej chyba używaną w jego firmie). Wpisałem go dzisiaj do książki i pojawił mi się komunikat "[Syn] jest w Signal". Tymczasem on nie używa Signala i nie ma go zainstalowanego. Co więcej po moim "cześć" ktoś po drugiej stronie odpowiedział i ... Czytaj dalej »

Od kilku godzin, Polacy posiadający iPhony z NFC (od iPhone 6 w górę) i zegarki Apple Watch mogą korzystać z Apple Pay, czyli w aplikacji Wallet skojarzyć telefon z posiadaną przez siebie kartą płatniczą kilku polskich banków. Czy to bezpieczne? Kto będzie miał dostęp do historii transakcji i numeru karty podczas płatności Apple Pay? Kiedy ... Czytaj dalej »

Bardzo dużo dobra. Łza się w oku kręci. Czytaj dalej »

Jeden z naszych Czytelników na emigracji podesłał nam SMS-a jakiego dostał: Link prowadzi do strony: http://hmrc-revenue.govs.uk.claim-tax-refund.overview.revmn[.]net/ Pod którą jest formularz zwrotu (bez https, na totalnie podejrzanej domenie) proszący pod koniec o dane karty. I już jest jasne na czym polega scam: Jak widać, nasi rodzimi cyberzłodzieje są lepsi. O ile mają tak samo nieżyciowe nazwy domen, to przynajmniej serwują ... Czytaj dalej »

A dokładnie 496845761 haszy udostępnionych przez haveibeenpwnd.com zostało już złamanych przez hashes.org i można tam hashe odwrócić, dzięki czemu uda się ustalić najpopularniejsze na świecie hasła. Przypomnijmy, że lista 500 milionów haszy została stworzona na podstawie wycieków z różnych serwisów i zawiera też informację ile razy dane hasło się pojawia w różnych wyciekach. Po co udostępniono taką ... Czytaj dalej »

Z tego artykułu na Onecie niestety nie dowiemy się jak piłkarzy okradziono. Czy był to włam na skrzynkę e-mail jednej drużyny, zapoznanie się z formatem dokumentów i następnie podesłanie takiego samego e-maila z poprawnej skrzynki jeszcze raz, ale z podmienionym rachunkiem bankowym? Czy może był to spoof od A do Z, a przestępcy nie-wiadomo-skąd wiedzieli ... Czytaj dalej »

Zamiast "nicków" graczy pojawiły się prawdziwe nazwiska. Nawet jeśli tych nazwisk nie było na koncie Xboksa i nawet jeśli użytkownik miał poprawnie ustawione opcje prywatności. I tak, osoba o nicku XXX, z wpisanym w koncie Xbox fałszywym imieniem i nazwiskiem (Jan Kowalski) była wyświetlana jako Adam Nowak. Skąd Microsoft miał prawdziwe dane? Wedle "ofiar" zasysał je ... Czytaj dalej »

Stary, bo z 2002 roku, ale jary poradnik: Jak odszukać ukryte kamery? Znacie inne metody? Kilka aktualniejszych informacji w tym wątku. Czytaj dalej »

Ładnie opisane tutaj. Menu jest po prawej - przeklikajcie wszystkie pozycje: Reconnaissance Initial Compromise Persistence Command and Control Privilege Escalation Lateral Movement Asset Discovery Data Exfiltration Czytaj dalej »

Ten wykres pięknie wizualizuje różnice pomiędzy szybkością aktualizacji na iOS i Androidzie: Czytaj dalej »

Taki screen podesłał nam jeden z Czytelników. Wynika z niego, że Microsoft zachęca do braku regularnej zmiany haseł: I Microsoft nie jest w tym podejściu odosobniony. Najnowsze sugestie organizacji standaryzującej NIST są takie same -- nie powinno się na użytkownikach regularnie (np. co miesiąc) wymuszać zmiany haseł. Oczywiście, jak zawsze, takie podejście ma swoje plusy i minusy. Wszystko ... Czytaj dalej »

WordPress wydał wersję 4.9.4, która usuwa poważny problem z modułem automatycznej aktualizacji, jaki został wprowadzony w wersji 4.9.3. Poważny bo automatyczna aktualizacja od wersji 9.4.3 przestała działać. Innymi słowy, aby przywrócić automatyczne aktualizowanie się WordPressa, musicie samodzielnie wgrać paczkę 4.9.4 na swój serwer (wystarczy kliknąć w "check updates", a potem "install"). A jeśli nie możecie ... Czytaj dalej »

Social Recon to zestaw skryptów w Pythonie, które sprawdzają w różnych serwisach, czy dana osoba ma na nich konto (i przy okazji, czy jej dane wyciekły). Interfejs wygląda tak ...ale jak nie chcecie się bawić w instalacje tego skryptu, to po prostu przejrzycie strony jakie on odpytuje tutaj. Dla waszej wygody, przeparsowane urle zamieszczam poniżej: https://www.twitter.com/{} https://haveibeenpwned.com/ https://github.com/{} https://www.facebook.com/search/people?q={} http://s594.photobucket.com/user/{}/profile/ https://www.youtube.com/user/{} https://www.flickr.com/people/{}/ https://imgur.com/user/{} https://hacked-emails.com/api?q={} https://en.wikipedia.org/wiki/User:{} https://steamcommunity.com/id/{} https://www.liveleak.com/c/{} https://www.reddit.com/user/{} https://www.pinterest.com/{}/ https://www.medium.com/@{}/ https://www.tripadvisor.com/members/{} Znacie inne ... Czytaj dalej »

Podszyty socjotechniką "trick", nakłaniający użytkownika do ujawnienia swojej lokalizacji (na desktopach, w oparciu o okoliczne sieci Wi-Fi). Pretekstem jest dostęp do pliku. Strona wygląda tak: Request w logach tak: 127.0.0.1 - - [04/Feb/2018 19:40:35] "GET /geolock.html HTTP/1.1" 200 - 127.0.0.1 - - [04/Feb/2018 19:40:45] "GET /geoloc/51.5539135_-0.1166846 HTTP/1.1" 404 - Na tego typu pretekst łapią się ludzie zapisujący się na SMS-y ... Czytaj dalej »

Signal to świetny komunikator zapewniający poufność korespondencji (szyfrowanie end-to-end). Działa na iOS, Androidzie, Windowsie, Linuksie i MacOS. Z jego protokołu korzystają także WhatsApp, Facebook Messenger i Google Allo. A oto wyniki analizy tego protokołu pod kątem bezpieczeństwa z listopada 2017 roku. Czytaj dalej »

Do dość odważnego ruchu posunął się Maciek Budzich, który na Facebooku opublikował zdjęcia swojej karty płatniczej. Karta po 5 minutach została obciążona przez kogoś, kto kupił sobie nią elektronikę na Amazonie. Czytaj dalej »

Świetny wykład o tym jak analiza metadanych przez włoskich antyterrorystów ujawniła szpiegowską siatkę CIA działającą na terenie Mediolanu. Dowiecie się też z niego, dlaczego szpiedzy nosili telefony w paczkach od chipsów :) Czytaj dalej »

31 stycznia odbędzie się w Krakowie wykład (wjazd za free, ale trzeba się tu zarejestrować) organizowany przez firmę Semihalf. Chłopaki z tej firmy od 12 lat współpracują z producentami chipów opartych o architekturę ARM. Jak sami piszą o sobie: Tworzymy m.in firmware, bootloadery, drivery dla tych procesorów więc ostatnie wiadomości dotyczące luk bezpieczeństwa (Meltdown i Specter), ... Czytaj dalej »

Ciekawa historia. Człowiek kupuje uznany sprzętowy portfel na krytowaluty (Ledger), czyli jedną z najbezpieczniejszych metod przechowywania wirtualnych walut. Niestety, robi to przez pośrednika (człowiek na eBay'u). Okazuje się, że sprzedawca zna klucz prywatny unikatowy dla urządzenia -- normalnie generuje się go samodzielnie przy inicjalizacji, ale tu sprzedawca wykazał się kreatywnością i sam wygenerował klucz, a kupującemu dostarczył go ... Czytaj dalej »