Profile cover photo
Profile photo
Secman
1 follower -
Secman - kurs na bezpieczeństwo IT
Secman - kurs na bezpieczeństwo IT

1 follower
About
Posts

Post has attachment
Gminne sieci komputerowe - cel idealny.

Duże publiczne środki finansowe - niska świadomość zagrożeń i rozwiązań - niedoinwestowani informatycy. To wszystko sprawia, że podmiana numerów kont do przelewów bywa banalnie prosta. 

Podatne bywają tak gminne aplikacje webowe, gdzie kryterium zakupu nie był poziom zabezpieczeń a cena oraz komputery pracowników nieprzeznaczone wyłącznie do operacji finansowych, z uprawnieniami administratora i bez wdrożonych szablonów zabezpieczeń.
Add a comment...

Post has attachment
Add a comment...

Post has attachment
Jednak Cheryl Cole najbardziej niebezpieczna wg badań McAffee ;) Statystycznie najwięcej stron związanych z tą celebrytką zawiera niechciane oprogramowanie instalowane na komputerach.
Add a comment...

Post has attachment
Czy Ello - nowy portal społecznościowy typu anti-Facebook będzie w stanie podbić rynek, który innym konkurentom się do tej pory nie udało? Narazie walczą z atakiem odmowy usługi DDoS - po 45 minutach udało im się przywrócić portal do życia ;)
Add a comment...

Post has attachment
Wydawało się, że po odkryciu wielkiej luki bezpieczeństwa #heartbleed w oprogramowaniu OpenSSL nic nas już w 2014 roku nie zaskoczy. Ale pojawił się, że #shellshock   ... Co oznacza odkrycie tej podatności w szeroko rozpowszechnionej powłoce Bash?

Znaczy to tyle, że tysiące stron internetowych, które są zbudowane w technologii CGI (a wiele stron jeszcze jest utrzymywanych w tej technologii) jest podatne na bardzo łatwe ataki internetowe. Shellshock umożliwia atakującemu zdalne łatwe prześlizgnięcie się przez zapory sieciowe, wykonanie kodu powłoki systemowej i przejęcie kontroli nad serwerem. Już się mówi o masowych skanowaniach sieci pod kątem wykrycia podatnych serwerów, ich infekcji i poszerzania sieci kontrolowanych przez cyberprzestępców. 
Add a comment...

Post has attachment
Konto na eBay było możliwe do zhakowania w mniej niż minutę z powodu absurdalnego programistycznego blędu. Wystarczyło znać mail i login, a te były znane z powodu wielkiego wycieku bazy danych użytkowników eBay 4 miesiace temu.
Add a comment...

Post has attachment
Add a comment...

Post has attachment
A jak mogło dojść do wycieku haseł kont Gmail? Nowa metoda oszustwa to #tabnabbing  . Tu jeden przykład - Aza Raskin pokazuje jak bazując na ludzkich przyzwyczajeniach, przestępcy mogą w banalny sposób nas oszukać, jeśli nie jesteśmy wystarczająco czujni.

Na blogu opisał prosty skrypt, który został umieszczony na stronie:

1. Skrypt wykrywa, że jesteśmy nieaktywny na zainfekowanej stronie, np. otworzyliśmy kolejną zakładkę i czytamy wiadomości.
2. Skrypt podmienia na zainfekowanej stronie ikonkę na Gmail, tytuł strony na "Gmail: Email from Google" i zawartość na standardowy formularz logowania do Gmail.
3. W przeglądarce widzimy rząd otwartych zakładek (ang. tabs) w tym tę z Gmail i przełączamy się, żeby sprawdzić pocztę. Przy dużej liczbie zakładek można łatwo zapomnieć, co po kolei otwieraliśmy.
4. Widzimy wylogowaną sesję Gmail, więc podajemy swój login i hasło ale na podstawionej stronie.
5.Tak właśnie traci się dane do logowania.
Add a comment...

Post has attachment
#tvn24 w panicznym tonie nakazuje sprawdzić, czy nasze konta Gmail są bezpieczne po ujawnieniu sporego wycieku haseł. Czy warto? Nie warto. 

Wyciek ujawniony na rosyjskim forum sprawdza się na nieznanej, również rosyjskiej stronie. Nie dostarczajmy spamerom naszych maili. A co warto zrobić? Na pewno to dobra okazja do zmiany hasła do konta pocztowego i/lub uruchomienia uwierzytelniania dwuskładnikowego.

Generalnie z wielkiej chmury mały deszcz - wyciek nie pochodzi z ukradzionych danych z serwerów Google, a z innych źródeł. Natomiast większość haseł jest dość stara. Jeśli ktoś mocno chce sprawdzić, czy jego konto nie jest na tej liście to na dropbox'ie można znaleźć plik tekstowy z listą skompromitowanych maili.
Add a comment...

Post has attachment
Opowieść o hakowaniu hakerów....

Bohaterem tej opowieści jest Raashid Bhat badacz trojanów, wirusów i wszelkiego rodzaju złośliwego kodu. Na swoim blogu: http://int0xcc.svbtle.com/ opisał w jaki sposób zhakował cyberprzestępcę rozsyłającego trojana wykradającego pieniądze z kont (Zeus). 

Raashid w typowy sposób otrzymał scam, czyli niechcianą wiadomość email, w której był załącznik z malware'em. Badacz przeanalizował złośliwy plik odkrywając, że jest to spakowana wersja Zeusa. Co ciekawe nie tylko w legalnym oprogramowaniu zdarzają się błędy programistyczne - również Zeus jest podatny na atak! Raashid wykorzystał znaną lukę i wydobył z kodu binarnego adres serwera przestępcy i klucz potrzebny do komunikacji Zeusa z tym właśnie serwerem. 

W następnej kolejności wykorzystał podatność serwera przestępców ( jak widać też nie zadbali o własne bezpieczeństwo  ) i zdobył dostęp do linii poleceń, co posłużyło mu do instalacji własnej pułapki. Gdy tylko administrator przestępczego serwera pojawił się przed własnym laptopem, chcąc rozpocząć kolejne ataki - Raashid Bhat za pomocą wtyczki do Meterpretera zrobił mu to oto zdjęcie....piękny hack-back!
Photo
Add a comment...
Wait while more posts are being loaded