Sam opis procedury (zrealizowanej w ramach etycznego hackingu) dostępny jest tutaj. Badacz najpierw zajął się analizą samej karty: Szybko okazało się, że całość bazuje na rozwiązaniu MIFARE Classic, którego (nie)bezpieczeństwo jest już znane. No więc badacz zakasał rękawy, skompletował narzędzia, zdumpował zawartość testowej karty i zabrał się za łamanie kluczy,…
Czytaj dalej »
Ciekawy wpis na blogu NCSC (National Cyber Security Centre). Autorzy wspominają o pewnej firmie, która zapłaciła równowartość około 30 milionów PLN (po obecnym kursie BTC) za dekryptor. Oczywiście wszystko w wyniku ataku ransomware. Napastnicy po uiszczeniu opłaty rzeczywiście dostarczyli działający dekryptor. Wszystko pięknie, ładnie. Firma wróciła do normalności, ciesząc się…
Czytaj dalej »
12 listopada 2020 r. Prezydent Trump podpisał dekret nr 13959 (Executive Order 13959) “Addressing the Threat from Securities Investments that Finance Communist Chinese Military Companies”. Dekret ten działa od 11 stycznia 2021 i zakazuje osobom z USA handlu i inwestowania w którąkolwiek ze spółek umieszczonych na liście CCMC ( Communist…
Czytaj dalej »
O tym jak skuteczne są ataki na łańcuchy dostaw mogliśmy się przekonać chociażby dzięki głośnej sprawie z SolarWinds czy CCleaner. Jak wynika z raportu ESET, tym razem ofiarą padł NoxPlayer, przez co część użytkowników mogła zostać zainfekowana złośliwym oprogramowaniem. Czym jest NoxPlayer ? Jest to bezpłatny emulator systemu operacyjnego Android,…
Czytaj dalej »
Apple już jakiś czas temu postanowił walczyć ze śledzeniem użytkowników w systemie iOS. Całość ma być realizowana przez mechanizm App Tracking Transparency: You must use the AppTrackingTransparency framework if your app collects data about end users and shares it with other companies for purposes of tracking across apps and web…
Czytaj dalej »
W 2018 roku pisaliśmy tak: GrayKey: to urządzenie otwiera niemal każdego iPhone Narzędzie to dostępne jest (komercyjnie) tylko dla służb z całego świata, choć od 2018 Apple poczyniło pewne postępy. Na tyle duże, ze niektórzy twierdzą że np. z iPhone12 + iOS14 są praktycznie odporne na tego typu analizy. Oczywiście…
Czytaj dalej »
Z ciekawym problemem napisał do nas jeden z czytelników. Pisze on tak: Chodzi o produkt K@rta wirtualna ING Visa – Całkowicie wirtualna karta przedpłacona. Karta przedpłacona umożliwia dokonywania płatności z wykorzystaniem środków, które przypisane są do tej konkretnej karty. Saldo na mojej karcie 1 zł. nagle wpada transakcja z cyklicznego abonamentu…
Czytaj dalej »
Na świecie ostatnio nie jest zbyt spokojnie. Reakcje rządów czy korporacji są coraz bardziej śmiałe (wspomnijmy tyklo deplatformację Parlera czy błyskawiczne usunięcie komunikatora Element z Google Play). Od strony rządowej niektóre kraje po prostu ćwiczą całkowite odcięcie się od Internetu. Jeśli z kolei potrzebujecie świeżego przykładu blokowania dostępu do do…
Czytaj dalej »
Jeszcze niedawno strona spamcop.net wyglądała tak: Teraz wygląda… o tak: Co się stało? Wygląda na to że Spamcop zapomniał odnowić domeny: Co z kolei spowodowało że wg tego serwisu każdy IP jest na blackliście – czytaj: jest spammerem. Zobaczmy np. na przykładowy serwer pocztowy (MX) Google: Jeśli masz więc skonfigurowany…
Czytaj dalej »
Zerknijcie na projekt Matrix: Matrix is an open source project that publishes the Matrix open standard for secure, decentralised, real-time communication, and its Apache licensed reference implementations. Mamy tutaj szyfrowanie end-2-end, połączenia głosowe/video, rozmowy grupowe. A całość dająca możliwość postawienia i swojego serwera. Do tego całość jest zdecentralizowana, co twórcy tłumaczą…
Czytaj dalej »
Baza nakierowana jest przede wszystkim na numery telefonów i ich powiązanie z ID Facebooka. Prawdopodobnie w bazie są przede wszystkim numery telefonów/ID użytkowników Facebooka (pozostałe dane dostępne są w bardzo nielicznych przypadkach). Z Polski jak widać oferowane jest prawie 2,7 miliona rekordów: Czy baza jest „prawdziwa”, niektórzy wątpią, choć np….
Czytaj dalej »
Perl to interpretowany, dynamiczny język programowania wysokiego poziomu autorstwa Larry’ego Walla, początkowo przeznaczony głównie do pracy z danymi tekstowymi, obecnie używany jednak do wielu innych zastosowań. Wzorowany na takich językach jak C, skryptowe: sed, awk i sh i inne. Według Perl Foundation, osoby trzecie przejęły kontrolę nad domeną Perl.com Przykład…
Czytaj dalej »
Być może znacie prowadzoną już od pewnego czasu listę ostrzeżeń przed niebezpiecznymi stronami. Lista, listą – ale jak w prosty sposób „skonfigurować” ją dla swojego komputera? Otóż Grzesiek Tworek stworzył proste skrypty (dla Windowsów), które pozwalają zautomatyzować konfigurację całości („lewe” domeny lądują w naszym lokalnym pliku hosts, więc zamiast na…
Czytaj dalej »
Projekt GnuPG po 4 latach wypuścił nową, dużą wersję biblioteki libgcrypt. Jednak dość szybko okazało się że jest w niej naprawdę poważna podatność… Tutaj czytamy: On 2021-01-28 Tavis Ormandy contacted us to report a severe bug in 1.9.0which he found while testing GnuPG: There is a heap buffer overflow in…
Czytaj dalej »
Mam dla Was dwie wiadomości – pierwsza świetna. Niedawno wspominałem o tym, jak ekstremalnie utrudnić dostanie się na Twojego Windowsa poprzez podatności w przeglądarkach. W skrócie, można użyć wbudowany w Windows mechanizm Application Guard. Wtedy przeglądarka otwiera się w mocno zwirtualizowanym środowisku, odseparowanym od głównego systemu. Aż prosi się żeby…
Czytaj dalej »
