10:03
31/1/2019

Bardzo pozytywnie odebraliście nasz eksperyment z “przeglądem newsów”. Więc 13 odcinek naszego podcastu Na Podsłuchu również poświęciliśmy na omówienie kilku tematów. Ich listę znajdziecie poniżej.

Posłuchaj tego odcinka

Listen to “NP #013 – ten z newsami o IoT, kamerach, 2FA i phishingu” on Spreaker.

Bądź na bieżąco i zasubskrybuj nasz podcast w swojej ulubionej aplikacji do podcastów. Po prostu wyszukaj tam “niebezpiecznik” lub “na podsłuchu” w iTunes, YouTube, Spotify lub innej podcastowej aplikacji, a o kolejnych odcinkach będziesz informowany automatycznie przez Twój smartfon.

Linki do omawianych zagadnień

W odcinku przywoływaliśmy m.in. poniższe zagadnienia:

  • Japonia będzie hackowała urządzenia swoich obywateli, zanim zhackuje je ktoś inny. Doskonały pomysł? W Polsce też ktoś hackował routery TP-Link i okradał klientów polskich banków. Ofiarami byli m.in. klienci Orange …i potem z dnia na dzień te routery zostały tajemniczo “odhackowane”. Orange wprowadziła wtedy zabezpieczenie o nazwie CyberTarcza, która działa z powodzeniem do dziś i chroni także przed wieloma innymi atakami (a jak się właśnie dowiedzieliśmy już po nagraniu tego odcinka, za kilka dni pojawi się z nią dość ciekawa usługa).
  • Łódzcy policjanci będą mieli tzw. body-cams zarejestrowane na stałe i nagrywające cały czas dźwięk i obraz. Czy będą mogli je wyłączać (np. dochodząc do pisuaru)? A jeśli tak, to co stoi na przeszkodzie, żeby je wyłączyć “w trakcie akcji”?
  • Ciekawe błędy w implementacjach 2FA, niezbyt groźne, ale pozwalające uzyskać tzw. persistance, np. w trakcie ataku lub testów penetracyjnych. Nie wszystkie serwisy zgłoszony błąd poprawiły… Posłuchajcie na czym polega i czy rzeczywiście nie trzeba tego poprawiać. I link do wspomnianego Kryptona.
  • Kontrowersje wokół tego, opisywanego przez nas wcześniej quizu phishingowego. Traktować go binarnie?
  • Phishing to nie tylko kradzież haseł. Ten gość to pokazał …ale właśnie go zawinęła Policja :)
  • Pewna rodzina usłyszała ostrzeżenie przed atakiem rakietowym. Bo ktoś włamał im się na Nesta. Winne było domyślne hasło lub reuse haseł?
  • Opisujemy też praktykę Amazonu, który aktywnie monitoruje sieć pod kątem wycieków i ostrzega swoich klientów, jeśli skądś wylecą ich dane.
  • Świetna wtyczka do KeePassa — możesz sprawdzić, które z Twoich haseł zostały wykradzione (są w zbiorze haseł połamanych z wyciekniętych baz danych). Jeśli przesłanie hasła do “serwisu z wykradzionymi bazami” was przeraża, to dobrze, ale nie martwcie się, bo do tego wykorzystywany jest algorytm K-ANONIMITY, który pozwala na sprawdzenie czy hasło jest w zbiorze bez wskazywania właścicielowi zbioru o które hasło się pyta. Dajemy też hinta dot. tworzenia odpowiednich suffixów do haseł, pozwalających ujawniać źródło wycieku.
  • Opowiadamy o tym, jak powinna wyglądać poprawna obsługa uwierzytelnienia użytkownika w serwisie internetowym, czyli temat który jest przedmiotem naszego szkolenia pt. Atakowanie i Ochrona Webaplikacji.
  • Zuck chce złączyć wszystkie swoje komunikatory w jeden (Instagram+WhatsApp+Messenger).
  • Dzień Ochrony Danych osobowych! Opowiadamy o tym jak działają algorytmy reklamowe, ale także poważniejsze algorytmy. O tym, że uczenie maszynowe ma słabości. Zresztą kiedyś już o tym rozmawialiśmy.
  • Opisujemy zwycięzców ostatniego Easter Egga:
    Jacek Lipkowski SQ5BPF
    Albert Gierlach
    Anita Łukowska
    ktx
    Krzysztof Kowalczyk
    Łukasz Szeremeta
    Raster
    Maciej Gałszyczński
    Bartłomiej Zbyradowski
    Wiktor Gonczorek
    Patrycja Tannis
    airfox
    Przemysław Starostka

Zasubskrybuj nas, aby nie przegapić nowych odcinków

Aby zapoznać się z poprzednim odcinkami i nie przegapić odcinków kolejnych — zasubskrybuj nasz podcast! Po prostu wpisz “niebezpiecznik” w wyszukiwarce swojej ulubionej aplikacji do podcastów. “Na Podsłuchu” ma także swoją stałą podstronę na Niebezpieczniku:

Strona podcastu Na Podsłuchu

Tam znajdziesz player pozwalający odsłuchać wszystkie odcinki oraz listę linków do postów z dodatkowymi informacjami dla każdego z poprzednich odcinków (m.in. ze spisem omawianych artykułów oraz narzędzi).

Można nas też subskrybować przez

Będziemy też superwdzięczni, jeśli ocenisz nasz podcast na 5 gwiazdek. Dzięki temu “zhackujesz” algorytm poleceń i więcej osób będzie w stanie nas usłyszeć, a w konsekwencji zabezpieczyć się przed internetowymi oszustwami. Win – Win.

Do podsłuchania!


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

21 komentarzy

Dodaj komentarz
  1. Wkleiliście poprzedni odcinek ze Spreakera. :)

    • Sprawdzamy Waszą czujność ;) Poprawione, thx!

  2. A jeśli tak, to co stoi na przeszkodzie, żeby je wyłączyć “w trakcie akcji”?
    Kamery mają zabezpieczać interes policji nie ewentualnych zatrzymanych.

    • I pewnie w takim celu będą testowane w Łodzi.

      PS W sumie, to ‘interes” policji będzie wtedy dobrze zabezpieczony, szczególnie przy przy pisuarze :)

    • A co z interesem zatrzymanych właśnie? Policja usunie sobie niewygodne dla siebie nagrania, a wygodne zostawi. Przecież kłamią rutynowo na temat swoich działań.

    • Rzecznicy policji utrzymują, że nagrania będą zabezpieczone, że policjant nie będzie miał do nich dostępu. Ale przecież wystarczy zasłonić obiektyw i mówić potem, że niechcący albo “przy szamotaniu się z napastnikiem, który zaatakował policjantów”.

      Swoją drogą to bardzo smutne, że policjantowi nie można już ufać, że będzie mówić prawdę (również niewygodną dla siebie i swoich kolegów ze służby) i instaluje mu się kamerę. Gdyby policja nie czepiałaby się o błahostki (niektóre, niestety, zabronione prawem – prawo do zmiany!) to i kamery by były niepotrzebne.

  3. Bomba, tylko player odtwarza poprzedni (#12) odcinek NP :-)

  4. Ciekawe co Japończycy zrobią z kamerkami z webserverami GoAhead, które nadal leakują hasła w plaintext przez HTTP GET. ;) (nie przez system.ini)

  5. Szkoda tylko, że orange ma taką CyberTarczę, że aż nie uznają za prawidłowe emaile z plusem. W wyniku tego jak podasz jako email do ich serwisu mójorange np. mojemail+orange@orange.com to nie zalogujesz się bo email jest nie prawidłowy.

  6. Problem z tym, że algorytmy o których jest mowa, to nie są algorytmy dowiedzione matematycznie, tylko wynikające z data-miningu, a jak mawia(ł) na wykładach pewien dr na WEiTI PW “Jeśli będziemy torturować dane odpowiednio długo to do wszystkiego się przyznają”.
    A tak konkretnie to tam algorytm polega na zastosowaniu aproksymatora, a to aproksymator zawiera tą “merytoryczną wiedzę” – i jako taki nie ma żadnego dowodu, tylko testy akceptacyjne czyli odpowiednio niski poziom false-positivów/negativów.

  7. Już trzynasty odcinek, a nadal z dźwiękiem nie najlepiej. Czasem słychać jakieś szumy i trzaski, nierówny poziom głośnośc: a to jednego prelegenta słychać dobrze, a drugiego źle, a to znów na odwrót.

    Skonsultujcie sprawę z jakimś akustykiem, radiowcem, czy innym znającym się na rzeczy – może to kwestia sprzętu, może sposobu używania (nie wiem, odległości od mikrofonu, sposobu mówienia?), może oprogramowania (jakaś automatyczna regulacja źle działa) a może wszystkiego po trochu. Treść ciekawa, profesjonalna i na poziomie, a forma ciut odstaje.

    • Ja żadnych trzasków nie zauważyłem, ale poziom głośności rzeczywiście przydałoby się wyrównać. Wystarczy przepuścić nagranie przez kompresor dynamiki w Audacity – ledwie kilka minut roboty, a znacznie łatwiej się słucha, szczególnie w głośniejszym otoczeniu.

  8. W tej wtyczce (bardzo prostej), którą polecacie autor zauważył cudowny przykład, dlaczego należy audytować rozwiązania związane z bezpieczeństwem.

    https://github.com/fopina/kdbxpasswordpwned/compare/master…SlivTaMere:bea0f5c

    Ktoś tworząc forka podmienił kod z hashowaniem na kod, który wysyła getem pełne hasło do jakiejś dziwnej domeny.

    Uważajcie na swoje hasła! :)

  9. Odnośnie wtyczki do KeePassa.
    Taka sama funkcjonalność jest obecna w programie 1Password od wielu miesięcy, nie jestem pewien czy w jakichś innych też nie zostało to już wprowadzone.

  10. Czy dodacie odcinek 13 na YouTube? :)

    Dzięki z góry.

    BTW, Wasze podcasty to super robota, chapeau bas!

  11. przeciez jest na Youtube, akurat skonczylem sluchac.

  12. Chcę nawiązać do tego że np. “(Y) jaskrawy kolor samochodu nie może być kryterium do X”: otóż jeśli istnieje jakaś korelacja między X a Y to należy najpierw wykluczyć że nie jest to korelacja przypadkowa, bo być może występuje czynnik Z o którym nie wiemy a w świetle niego wszystko nabiera sensu. Ocenianie rzeczy z góry pod swoją ideologię jest nie na miejscu.

  13. Mieliście podać jeszcze link do jakiejś wtyczki do przeglądarki która pełni rolę klucza U2F. Słuchałem podcastu w samochodzie i nie mogłem zanotować.

    • Świetny podcast. Niestety ostatnia przykra sytuacja w Łodzi pokazała, że bodycam’y są bezużyteczne – były wyładowane!

  14. A co z linkiem do software-owego U2F?

  15. 36:51 – odnośnie dodawania sufiksów do haseł, aby mieć możliwość dojść skąd hasło wyciekło.

    Większość (czyt. sprawdziłem tylko 2 których używałem :P) managerów haseł udostępnia eksport bazy credentiali do CSV, razem z hasłami w plaintekście.
    Więc takie sufiksowanie jest zbędne.

    A tylko niepotrzebnie zwrócimy na siebie uwagę hakera: “Hmm, co to? Niby ktoś z managerem haseł, ale dodaje sufixy?”

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: