Drobiazgi – Zaufana Trzecia Strona

Pseudolosowe adresy email nie są bezpieczne

Adam Haertle — Thu, 19 Jan 2017 05:09:48 +0000

Jeśli czasem, zmuszeni do podania jakiegoś adresu email, zaczynacie uderzać w klawisze klawiatury w nadziei na utworzenie pseudolosowego, nieistniejącego adresu, przyjrzyjcie się wynikowi tej operacji. Jeśli domena, którą wygenerowały Wasze palce do asdf.pl, to pocztę przechodzącą na ten adres będą mogły przeczytać osoby postronne. Jakim cudem? Ano takim, że w domenie asdf.pl działa usługą tymczasowej poczty. Każdy internauta może się tam zalogować i czytać wiadomości przychodzące np. na adres qwert@asdf.pl – i wiele, wiele innych. Jeśli dobrze poszukacie, to nie tylko znajdziecie linki do testowych środowisk pewnej aplikacji, ale także na przykład powiązane z adresami w tej domenie konta Google.

Używanie przypadkowych adresów email jest zawsze obarczone ryzykiem – możecie sami sprawdzić, jak wiele adresów wydawało by się nieistniejących, w rzeczywistości zostało zarejestrowanych i odbiera każdą przesyłaną do nich wiadomość. W niejednej bazie danych na pewno znajdzie się sporo klientów z emailami w domenach takich jak brak.pl czy niema.pl…

Dziękujemy anonimowemu Czytelnikowi za wskazanie linkd do asdf.pl.

Ktoś popsuł bota na Skypie

Adam Haertle — Fri, 05 Aug 2016 14:48:40 +0000

Odezwał się kiedyś do Was na Skypie bot? Nam się przydarzyło. Najczęściej boty opowiadają o tym, że są nudzącymi się kobietami, które chcą z kimś poflirtować, po czym rozmówca otrzymuje linka do platformy na której rzekomo można obejrzeć co właśnie robi ta druga, w rzeczywistości wirtualna osoba. Tym razem jednak rozmowa przybrała nieoczekiwany obrót gdy ktoś przez pomyłkę wkleił botowi kawałek kodu aplikacji.

Przetestujcie przy najbliższej okazji.

Włamanie na Bitfinex

Adam Haertle — Tue, 02 Aug 2016 20:25:26 +0000

Bitfinex, jedna z największych giełd kleptowalut, padła ofiarą hakerów. Jeśli wierzyć serwisowi Bitcoinity, Bitfinex był w ostatnich dniach największą pod względem obrotów giełdą nie obsługującą chińskiej waluty. Co prawda jej udział w globalnym rynku wynosił jedynie ok. 1-2%, lecz ciągle było to 40 000 BTC obrotu w ciągu doby. Na razie nie wiemy, na czym polegało włamanie, jednak komunikat na stronie serwisu wskazuje, że z kont niektórych klientów zniknęły ich środki. Giełda całkowicie zawiesiła działalność do czasu wyjaśnienia sytuacji i rozliczenia strat.

Bifinex ostatni raz był zhakowany nieco ponad rok temu – wtedy stracił „jedynie” 1400 BTC.

Konferencja SECURE 2016 czeka na Ciebie!

Adam Haertle — Mon, 04 Jul 2016 11:23:30 +0000

Jedna z najlepszych polskich konferencji poświęconych bezpieczeństwu zamyka dzisiaj listę zgłoszeń prezentacji. Występ na SECURE to świetna przygoda, okazja do spotkania sporej części branżowego towarzystwa i możliwość wysłuchania innych wartościowych prezentacji. Serdecznie polecamy wysłanie zgłoszenia – to także dobra metoda na zmotywowanie się do przygotowania solidnej prezentacji. Zajrzyjcie do informacji o Call for Speakers i pomyślcie nad ciekawym tematem, który sami chcielibyście na konferencji usłyszeć. Do zobaczenia na miejscu!

Wyciek adresów email użytkowników Let’s Encrypt

Adam Haertle — Sat, 11 Jun 2016 09:25:34 +0000

Projekt Let’s Encrypt zrewolucjonizował rynek certyfikatów SSL, rozdając je za darmo i wymuszając automatyzację procesu ich odnawiania. Nowe projekty nie są jednak wolne od błędów i nawet najszczytniejsze idee nie gwarantują pełnej ochrony danych użytkowników. W rozsyłanym własnie do uzytkowników emailu z aktualizacją warunków świadczenia usług Let’s Encrypt zawarł… sporą listę odbiorców w treści samej wiadomości. Wyciekło nieco ponad 7 tysięcy z 383 000 adresów którymi dysponuje firma zanim ktoś się zorientował, że w skrypcie jest błąd. Tak wyglądała wiadomość (zwróćcie uwagę na pasek przewijania):

Email z wpadką (wkładką?)

Zarządzający projektem dość szybko się zorientowali i powstrzymali dalszy wyciek oraz wydali komunikat opisujący całą sytuację. Co ciekawe wynika z niego, że każdy z odbiorców otrzymał listę adresów od numeru 1 do swojego numeru, co sugeruje że skrypt wysyłający wklejał do treści wiadomości zamiast adresu odbiorcy komplet adresów które zdążył już wczytać.

Dziękujemy Czytelnikowi pidpawel za podesłanie newsa.

Strona Acunetixa zhakowana

Adam Haertle — Sun, 05 Jun 2016 05:46:16 +0000

Aktualizacja 2016-06-08

Acunetix wydał oświadczenie w którym informuje, ze zrzut ekranu przedstawiony poniżej jest fałszywy. Informuje także, że istotnie strona była niedostępna przez prawie cały dzień, co wiązało się z restartem hosta w serwerowni w której strona jest umieszczona i koniecznością „nadzorowanego restartu strony WWW”, cokolwiek to oznacza.

Witryna Acunetixa, jednego z najpopularniejszych narzędzi do testowania bezpieczeństwa stron WWW, została podmieniona wczoraj w nocy. Jak widać bycie „na celowniku” prawie gwarantuje taki incydent. Witryna jest obecnie niedostępna. Liczymy na ładny opis przebiegu włamania.

Zhakowany Acunetix

Wirus atakuje urządzenia Ubiquiti

Adam Haertle — Sat, 14 May 2016 20:09:08 +0000

Jeśli popsuł się Wam dzisiaj bezprzewodowy internet a dostawca usługi klął gdy odbierał telefon (lub nie odbierał, bo biegał i klął) to pozdrówcie firmę Ubiquiti, której urządzenia mają błąd pozwalający na zdalne wykonanie kodu bez uwierzytelnienia, oraz autora wirusa, który od parunastu godzin infekuje wszystko co na drzewo nie ucieka.

Urządzenia Ubiquiti

W oparciu o urządzenia Ubiquiti działa wiele sieci bezprzewodowych na całym świecie. Wirus infekuje przede wszystkim urządzenia wystawione na publicznych adresach IP, ale każde zainfekowane urządzenie może infekować kolejne, co oznacza, że jeśli dane urządzenia widzi inne w tej samej podsieci (ale już na adresach prywatnych) to je także może zainfekować. Jednym z najprostszych testów weryfikacji, czy urządzenie jest zainfekowane, jest obecność konta „mother” w pliku /etc/passwd. Wątki z opisem metod ratowania urządzeń oraz sposobem działania wirusa znajdzie w wersji angielskiej oraz polskiej – wymagana jest m. in. aktualizacja oprogramowania.

Dziękujemy za Wasze zgłoszenia problemu.

Cyber, cyber extra – Dragon Sector

Adam Haertle — Fri, 25 Mar 2016 10:51:24 +0000

Właśnie ukazał się nowy odcinek polskiego podcastu o bezpieczeństwie nagrywanego przez Fundację Bezpieczną Cyberprzestrzeń. W tym wydaniu specjalnym możecie posłuchać rozmowy z Gynvaelem Coldwindem i Mateuszem Jurczykiem, współtwórcami drugiej najlepszej drużyny CTF roku 2015, Dragon Sector. Dla zwolenników innych form konsumpcji dźwięku jest także plik do pobrania (45 MB).

Certified Ethical Exploit Kit

Adam Haertle — Wed, 23 Mar 2016 23:07:31 +0000

Strona ECCouncil, organizacji odpowiedzialnej za wydawanie certyfikatu Certified Ethical Hacker, serwuje Angler Exploit Kita.Wystarczy wejść z Google i udawać Internet Explorera by otrzymać odpowiedni wsad dla przeglądarki.

Juppi!

Trudno nam w sumie udawać zaskoczonych, skoro już trzykrotnie pisaliśmy o włamaniach na ich stronę…

Nowy zin Sekuraka – bezpieczeństwo aplikacji WWW

Adam Haertle — Wed, 23 Mar 2016 20:45:10 +0000

Nasi przyjaciele z Sekuraka odwalają kawał dobrej roboty i właśnie wydali drugi już numer swojego magazynu poświęconego bezpieczeństwu aplikacji WWW. Jeśli nie czytaliście części pierwszej to znaczy że macie dwie do nadrobienia!

Strona tytułowa

Spis treści wygląda następująco:

Mechanizm Service Workers
Wszystko o CSP 2.0 – Content Security Policy jako uniwersalny strażnik bezpieczeństwa aplikacji webowej
Ochrona podatnych aplikacji webowych za pomocą wirtualnych poprawek w ModSecurity
Czym jest atak Padding Oracle
Czym jest Bit-Flipping
Bezpieczeństwo aplikacji webowych: podatności w mechanizmach uploadu
Ukryte katalogi i pliki jako źródło informacji o aplikacjach internetowych
Czym jest i jak wykorzystać podatność Relative Path Overwrite/Path–Relative Style Sheet Import (RPO/PRSSI)
Mechanizm HTTP Public Key Pinning

Zapraszamy do lektury.