Wielu ludzi otrzymuje ostatnio informacje z PKO TFI dotyczące hasła do przesyłanego załącznika w formacie PDF o treści: Ze względów bezpieczeństwa załącznik został zaszyfrowany, aby uniemożliwić dostęp do pliku osobom trzecim. Hasłem dostępu do pliku jest ciąg 11 znaków wyznaczonych w oparciu o imię i nazwisko oraz datę urodzenia. Wprowadź…
Czytaj dalej »
Gitlab wydał właśnie łatki bezpieczeństwa opisując główny problem w ten sposób: Atakujący może zresetować hasło dowolnemu użytkownikowi – podając w trakcie resetu hasła… swój email. An issue has been discovered in GitLab CE/EE affecting all versions from 16.1 prior to 16.1.6, 16.2 prior to 16.2.9, 16.3 prior to 16.3.7, 16.4…
Czytaj dalej »
31 października odpaliliśmy konkurs, w którym trzeba było załamać dziesięć hashy. Do wygrania były fajne nagrody (min. wejściówki na nowy semestr Sekurak Academy 2024). Konkurs wzbudził bardzo duże zainteresowanie. Dostaliśmy od Was do 7 listopada ponad 100 odpowiedzi! A jak to wyglądało w liczbach? Maksymalną liczbę złamanych (i poprawnych!) hashy…
Czytaj dalej »
Zobaczcie na tę sprawę sądową (2019r.), na którą skierował nas jeden z czytelników. W sprawie chodzi o przywrócenie do pracy zwolnionego pracownika. W czym był problem? Otóż pracodawca rozwiązał z pewnym adminem umowę o pracę, swoją decyzję argumentując m.in. tak: W trakcie tych testów polegających na wyszukiwaniu, po zeskanowaniu całej…
Czytaj dalej »
17 lipca ogłosiliśmy konkurs w którym do wygrania były klucze Yubikey od Yubico. Do złamania było 12 hashy ze strony http://recon.zone/hashez.txt. Rozstrzygnięcie nastąpiło 19 lipca w samo południe. Większość uczestników do działania zaprzęgło narzędzie hashcat. I nie, nie chodziło by wykorzystać możliwości wielu kart GPU. Trzeba było wykorzystać narzędzie sprytnie,…
Czytaj dalej »
Tutaj krótka analiza użycia algorytmu PBKDF2 w Bitwardenie. W skrócie – odpowiednie użycie PBKDF2 znacznie zwiększa czas łamania głównego hasła do menadżera, w przypadku gdyby doszło do hipotetycznego ataku na jego infrastrukturę IT (podobnie jak miało to miejsce w przypadku LastPass). Ale żeby wszystko działało zgodnie z zamierzeniami, potrzebna jest…
Czytaj dalej »
Wyciek czyli co? Najczęściej jest to sytuacja, gdy ktoś otrzymał dostęp do bazy danych (np. aplikacji) i pobrał z niej loginy / hasła. Hasła (najczęściej) nie są przechowywane w formie jawnej. I w ten bardzo szybki sposób dochodzimy do sedna tego wpisu. W jaki sposób powinny być przechowywane hasła w…
Czytaj dalej »
Ostatnio spływają coraz bardziej ponure informacje o managerze haseł LastPass. Niedawno donosiliśmy, że hackerzy uzyskali dostęp do >>zaszyfrowanych<< baz z hasłami. Nietechniczne osoby (i media) rozumieją to często w ten sposób: wyciekły wszystkie moje hasła z LastPass. No niekoniecznie, ale i tak sytuacja nie jest ciekawa: 1. Dobry manager haseł…
Czytaj dalej »
LastPass informuje o włamaniu do swojej infrastruktury IT. Wg relacji przejęte zostało konto jednego developera (może to ta kampania?) i zostały przejęte kody źródłowe: We have determined that an unauthorized party gained access to portions of the LastPass development environment through a single compromised developer account and took portions of…
Czytaj dalej »
Nowa wersja 6.2.0 dodaje wsparcie łamania dla przeszło 20 algorytmów, m.in. (uch, ech): Added hash-mode: SolarWinds Orion v2Added hash-mode: SolarWinds Serv-U Z większych rzeczy dodano zupełnie nowy rodzaj ataku (-a9 – Association Attack), więcej można poczytać o nim tutaj: https://hashcat.net/forum/thread-9534.html W praktyce, przyjrzymy się temu na jakimś kolejnym szkoleniu z…
Czytaj dalej »
Dzisiaj jest ponoć Światowy Dzień Hasła ;-) No wiec niech będzie, kilka ciekawych materiałów od nas. Przechodząc do tematu zaanonsowanego w tytule – zmienianie czy wymuszanie zmiany hasła „bo tak” (np. raz na miesiąc) jest bez sensu, a nawet zmniejsza bezpieczeństwo haseł. Czy któryś z Waszych banków wymusza zmianę hasła…
Czytaj dalej »
To już ostatnie przypomnienie o naszym darmowym szkoleniu o hasłach / wyciekach / 2FA / menadżerach haseł… Link do streamu dla wszystkich: https://www.youtube.com/watch?v=xwfnqTjfApA (start o 20:00) Link do streamu dla osób nietechnicznych: https://www.youtube.com/watch?v=OqmjX38V1G0 (start 20:10) Można zapisać też się poniżej (prosimy tylko o e-mail; dostaniesz extra materiały!): –ms
Czytaj dalej »
Netflix to znana już chyba wszystkim amerykańska platforma streamingowa z siedzibą w Los Gatos w Kalifornii. Przyjacielskie ostrzeżenie Jak informuje “The Washington Post”, część użytkowników Netflixa dostała taki komunikat: “If you don’t live with the owner of this account, you need your own account to keep watching”. Gdy użytkownik wybierze…
Czytaj dalej »
Wg badacza, który zlokalizował to hasło w 2019 roku, umożliwiało ono dostęp na „serwer plików”: Emails between Kumar and SolarWinds showed that the leaked password allowed Kumar to log in and successfully deposit files on the company’s server. Using that tactic, Kumar warned the company, any hacker could upload malicious…
Czytaj dalej »
Serwis jeszcze jakiś czas temu wyglądał tak: A udostępniał do bezproblemowego pobrania złamane czy niezłamane hashe – w podziale na konkretne serwisy. Zawartość bazy to aż 4,5 miliarda wpisów, zawierających również sporo „polskich wycieków” Serwis obecnie nie działa, a niektórzy sugerują zamknięcie hashes[.]org przez Służby, inni awarię dysku (choć ci…
Czytaj dalej »