Osoby zajmujące się ekhem odzyskiwaniem haseł, na pewno kojarzą to narzędzie. Właśnie pokazała się wersja: 1.9.0-jumbo-1. Poprzednia edycja jumbo (1.8.0-jumbo-1) wydana była aż 4.5 roku temu, a w tym czasie wykonano przeszło 6000 commitów do repozytorium. Kilka nowych, wspieranych algorytmów (część z nich nazwana jest nieco enigmatycznie :) adxcrypt, andotp, androidbackup, ansible,…
Czytaj dalej »
Możecie spać spokojnie, bo chodziło tylko o „podejrzane” (dla Facebooka) domeny mailowe :P Taką wiadomość dostawali niektórzy użytkownicy po rejestracji: Niektórzy wskazują, że poza budowaniem bardzo złych nawyków (podawanie hasła do swojej poczty na zupełnie innej domenie!), sam FB przyznał niedawno że przypadkowo przechowywał hasła użytkowników w plaintext… Facebook w…
Czytaj dalej »
Nie obchodziliśmy dnia bezpiecznego Internetu, ale jak donosi nam jeden z czytelników – wiele serwisów i owszem. Dajmy na to Komputerświat uważa, że „mocne” hasło: Musi składać się z co najmniej ośmiu losowych wybranych dużych i małych liter, cyfr oraz znaków specjalnych. Zobaczmy więc. Różnych znaków w haśle możemy mieć…
Czytaj dalej »
Szczegóły projektu tutaj. Hasła są sprawdzane za pomocą stosownego rozszerzenia do Chrome. Sama baza ma około 4 miliardy wyciekniętych haseł / loginów, choć Google nie pisze w jaki sposób dane te zostały pozyskane. W momencie logowania się do dowolnego serwisu, jeśli nasze dane logowania gdzieś wcześniej wyciekły i znajdują się…
Czytaj dalej »
Zastanawialiście się jak długo temperatura z Waszych palców zostaje na wciśniętych klawiszach klawiatury?. Okazuje się niespodziewanie długo. W czasie 20-30 sekund bez problemu można odczytać wszystkie „wciśnięcia” (i to np. dla hasła: 3xZFkMMv|Y). Graniczną wartością jest około 50-60 sekund. Wystarczy odpowiednio czuła kamera termowizyjna, trochę wiedzy i pomysłowości (hej, właśnie się…
Czytaj dalej »
Można pewnie marudzić. że serwis nie ma wielu znanych wycieków. Z drugiej strony możemy całkiem dużą bazę (4,5 miliarda rekordów) ładnie posortować czy przeszukać. Np. tak jak poniżej (w bazie mamy przeszło 800 wycieków polskich baz): Część z nich jest mikroskopijna – np. krolikarzpolski (trzymający hasła w plaintext) ma ledwo…
Czytaj dalej »
Po wielu miesiącach pracy autora, otrzymaliśmy nowego hashcata. Poza obsługą garści nowych algorytmów, dostępna jest m.in. wbudowana usługa sieciowa o nazwie hashcat brain. O co w niej chodzi? A mieliście może kiedyś sytuację, kiedy łamaliście hasło, ale później przypomnieliście sobie żeby jednak zwiększyć alfabet? I znowu bruteforce od zera… Aby…
Czytaj dalej »
Ostatnio coraz więcej osób pisze do nas z prośbą o radę: dostają maila ze swoim prawdziwym hasłem (czasem w tytule maila, czasem w mailu) z prośbą o wpłatę określonej kwoty w Bitcoinach (po wpłacie, dane które rzekomo wyciekły zostaną usunięte lub alternatywnie – przynajmniej nie będą opublikowane). Taka wiadomość wygląda…
Czytaj dalej »
Jeden obraz wart jest więcej niż tysiąc słów. Patrzcie więc…:
Czytaj dalej »
Tutaj można zobaczyć świeże opracowanie, pokazujące m.in. częściowe wyniki z testów bezpieczeństwa rozmaitych systemów obronnych, realizowanych w DOD (Department of Defence USA). USA planują obecnie wydać około 1,6 biliona (en. trillion) dolarów na pakiet nowoczesnej broni i byłoby nieco głupio gdyby takie 'zabawki' udało się przejąć za pomocą nieśmiertelnej pary:…
Czytaj dalej »
Na wstępie – o samym serwisie Zoomeye już pisaliśmy (to poza Shodanem i Censysem jedno z najpopularniejszych narzędzi do pasywnego rekonesansu sieciowego). Zoomeye, ma pewną ciekawą właściwość – standardowo dostajemy w szczegółach danego wyniku również spore fragmenty odpowiedzi (np. HTTP response). Połączmy to z podatnością na urządzeniu sieciowym, która bez uwierzytelnienia…
Czytaj dalej »
W skrócie chodzi o serwis https://gotcha.pw/ będący pewnego rodzaju konkurencją do https://haveibeenpwned.com/ Możemy też wyszukać konta, których dane wyciekły z danej domeny – zapytanie do wyszukiwarki: @domena Na wyniku dostaniemy również częściowo zamaskowane adresy email: –ms
Czytaj dalej »
Zacznijmy od końca czyli od nowego modułu Watchtower dostępnego w 1Password. Daje on m.in. automatyczny audyt obecnie używanych przez nas haseł, ale posiada też kilka różnych ciekawostek – typu automatyczne wskazywanie, że domena do której przechowujemy hasło (np. amazon.com) ma wsparcie dla 2FA i może warto jego użyć: Cofając…
Czytaj dalej »
Niedawno podobny problem miał GitHub, obecnie Twitter: We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password….
Czytaj dalej »
Co ciekawe, na tragedię to nie wygląda, bo wg oświadczenia GitHuba problem dotknął „niewielką” liczbę użytkowników – co ważniejsze problem wyszedł na jaw podczas „regularnego audytu” zlecanego przez GitHub-a. Brawo więc za nie ukrywanie problemu. Firma oświadczyła również, że standardowo hasła przechowywane są w postaci hasha bcrypt, a do haseł…
Czytaj dalej »