Jeśli chcecie mnie wesprzeć to zapraszam do kupna mojego poradnika "Jakim jesteś Makiem?".

Deutsche Telekom wyłącza automatyczne dostarczanie MMS-ów →

6 sierpnia 2015 · 09:04

Deutsche Telekom AG:

Alle Android-Geräte können hiervon betroffen sein – unabhängig vom Netzbetreiber. Betroffen sind Mediendateien – egal über welchen Weg diese empfangen werden (MMS, WhatsApp, Hangouts, Facebook, Youtube etc.). Der kriminelle Zugriff erfolgt über geöffnete Mediendateien (Audio, Video, Foto), die über alle Services auf das Gerät gelangen können. Die Schadsoftware kann sich dann über Adressbuchkontakte weiter verbreiten.

Przypominają przy okazji, że problem dotyczy również innych komunikatorów.

Producenci smartfonów z Androidem śpieszą się z patchem do Stagefrighta →

6 sierpnia 2015 · 09:00

Russell Brandom:

The bug allows an attacker to remotely execute code through a phony multimedia text message, in many cases without the user even seeing the message itself. Google has had months to write a patch and already had one ready when the bug was announced, but as expected, getting the patch through manufacturers and carriers was complicated and difficult.

But then, something unexpected happened: the much-maligned Android update system started to work. Samsung, HTC, LG, Sony and Android One have already announced pending patches for the bug, along with a device-specific patch for the Alcatel Idol 3. In Samsung’s case, the shift has kicked off an aggressive new security policy that will deploy patches month by month, an example that’s expected to inspire other manufacturers to follow suit. Google has announced a similar program for its own Nexus phones. Stagefright seems to have scared manufacturers and carriers into action, and as it turns out, this fragmented ecosystem still has lots of ways to protect itself.

Zamiast miesięcy to kilka tygodni, ale lepiej to niż nie łatanie dziury w ogóle. Mam wrażenie, że w końcu poczuli presję, a to powinno wyjść na dobre końcowym userom. Nadal jednak uważam, że Google powinien z kręgu zainteresowanych wywalić w cholerę operatorów i producentów, i dostarczać tylko czystego Androida z opcją wprowadzania nakładek oraz bloatware’u jako aplikacji przez Google Play.

Thunderstrike 2 – luka w EFI →

4 sierpnia 2015 · 20:34

Maciej Skrzypczak:

Otóż błąd, który się w nim znajduje pozwala zainfekować komputer robakiem Thunderstrike 2 nawet bez dostępu do internetu. Poza tym nie jest wykrywalny przez żadne oprogramowanie antywirusowe. A kiedy już się nim zarazimy istnieje bardzo wiele scenariuszy, w jakich złośliwe oprogramowanie może być wykorzystane — począwszy od „nasłuchiwania” klawiatury (co za tym idzie — kradzież danych), aż po kasowanie danych.

Dziura dosyć poważna, bo potencjalnie daje atakującemu wszystko. Tradycyjnie można się zabezpieczyć kierując się dwoma prostymi zasadami:

  1. Nie zostawiamy komputera bez opieki, aby nikt niepowołany nie miał do niego dostępu.
  2. Nie pobieramy pirackiego oprogramowania, w tym nawet legalnych programów z torrentów i podobnych gdy nie jesteśmy na 100% pewni jego pochodzenia.

Kolejny dzień, kolejna spora luka w Androidzie →

31 lipca 2015 · 07:20

Wish Wu:

We have discovered a vulnerability in Android that can render a phone apparently dead – silent, unable to make calls, with a lifeless screen. This vulnerability is present from Android 4.3 (Jelly Bean) up to the current version, Android 5.1.1 (Lollipop). Combined, these versions account for more than half of Android devices in use today. No patch has been issued in the Android Open Source Project (AOSP) code by the Android Engineering Team to fix this vulnerability since we reported it in late May.

This vulnerability can be exploited in two ways: either via a malicious app installed on the device, or through a specially-crafted web site. The first technique can cause long-term effects to the device: an app with an embedded MKV file that registers itself to auto-start whenever the device boots would case the OS to crash every time it is turned on.

In some ways, this vulnerability is similar to the recently discovered Stagefright vulnerability. Both vulnerabilities are triggered when Android handles media files, although the way these files reach the user differs.

Szczegóły techniczne pod tytułowym linkiem.

Krótki sprawdzian ile Twoich danych wyciekło do internetu →

30 lipca 2015 · 13:47

Josh Keller, Rebecca Lai i Nicole Perlroth:

Answer the questions below to learn which parts of your identity may have been stolen in some of the major hacking attacks over the last two years and what you can do about it. Not all attacks are included here, and many attacks go undetected, so think of your results as a minimum level of exposure.

Żegnaj Androidzie →

30 lipca 2015 · 06:10

Lorenzo Franceschi-Bicchierai:

Last week, I was hanging out with some hackers and security experts at a conference in Brooklyn when I took out my Sony phone.

“Oh! The journalist uses Android. That’s secure!” said one guy next to me, in a highly sarcastic tone.

I dismissed his sarcasm, even though, as someone who writes about information security, I knew that deep down he was right. Just a few days later, his joke now seems almost premonitory.

Przed chwilą szukałem informacji na temat tego czy Google już wysłał uaktualnienie łatające Stagefright, ale z tego co widzę to pojawi się dopiero w przyszłym tygodniu dla Nexusów. Obecnie mam w domu trzy urządzenia z Androidem – każde z nich na 5.x. To dwa Nexusy i jeden GPe. Na obecną chwilę wyjąłem z nich karty SIM, pomimo że to mało prawdopodobne aby ktokolwiek miał te numery, a tym bardziej wysłał mi MMS-a. Ale nigdy nic nie wiadomo…

As security researcher Nicholas Weaver put it in a (now deleted) tweet, ”Imagine if Windows patches had to pass through Dell and your ISP before they came to you? And neither cared? That is called Android.”

Cały proces aktualizacji Androida jest szokująco zły i od jego debiutu nic w tej kwestii nie zrobiono. Powyższy przykład od Lorenzo dodatkowo podkreśla jak debilny jest to problem. Dlatego chrzanię – dopóki Google nie ogarnie update’ów do Androida tak jak robi to Apple to nie kupię żadnego urządzenia z tym systemem.

Wystarczy jeden MMS, aby zhackować telefon z Androidem →

29 lipca 2015 · 08:22

Z Team:

Attackers only need your mobile number, using which they can remotely execute code via a specially crafted media file delivered via MMS. A fully weaponized successful attack could even delete the message before you see it. You will only see the notification. These vulnerabilities are extremely dangerous because they do not require that the victim take any action to be exploited. Unlike spear-phishing, where the victim needs to open a PDF file or a link sent by the attacker, this vulnerability can be triggered while you sleep. Before you wake up, the attacker will remove any signs of the device being compromised and you will continue your day as usual – with a trojaned phone.

Problem dotyczy Android od 2.2 do najnowszego 5.1.1 i pomimo, że Google zareagował bardzo szybko, to nie ma to większego wpływu dla konsumentów, którzy muszą otrzymać OTA. Te niestety pojawiają się z dużym opóźnieniem, a wiele telefonów nie jest już wspierana i nie doczeka się już żadnego uaktualnienia.

Tego typu zagrożenia są przerażająco niebezpieczne – większość userów nawet się nie zorientuje, że zostali zhackowani oraz że mają trojana. Tak zainfekowany smartfon będzie mógł atakującemu dostarczać dźwięk z mikrofonu, obraz z kamery oraz dane z telefonu. Wszystkie.

Więcej praktycznych informacji znajdziecie na Niebezpieczniku. Stay safe.

Nowy system podwójnego uwierzytelniania w OS X El Capitan i iOS 9

9 lipca 2015 · 07:50

OS X 10.11 El Capitan oraz iOS 9 wprowadzają nowy system podwójnego uwierzytelniania, różniącego się od tego stosowanego dotychczas przez firmę z Cupertino. Jest wbudowany w oba systemy operacyjne i jego celem jest zapewnienie większego bezpieczeństwa naszych danych i kont.

Włamanie na serwery LastPass – wykradziono emaile i inne dane →

16 czerwca 2015 · 14:16

LastPass:

We want to notify our community that on Friday, our team discovered and blocked suspicious activity on our network. In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, however, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.

Dlatego wolę mieć takie dane u siebie – 1Password [App Store] oferuje synchronizację naszej bazy danych po Wi-Fi, z pominięciem internetu.

Jak zabezpieczyć iPhone’a, iPada i Maca przed kradzieżą

5 marca 2015 · 21:04

Niestety, ale każda kradzież jest przykra, a już w szczególności, gdy zdarzy się znajomej nam osobie. Dzisiaj niestety Dominik wstępnie pożegnał się ze swoim MacBookiem Pro, iPadem oraz różnymi akcesoriami – kwota mogąca przyprawić niektórych o zawał. Piszę „wstępnie” dlatego, że teoretycznie … Czytaj dalej

Hackowanie własnej przeszłości →

16 lutego 2015 · 10:56

Kevin Roose:

I’m sitting at my desk in California, eating a Chipotle lunch while controlling a mega-server located several hundred miles away in Oregon. With a few lines of code, I’m telling the server to pour all of its processing power onto a single file. My goal is to bypass this file’s security by brute-force cracking its password, testing millions of possible combinations before I find the right one. Normally, this mission would be deep into black-hat territory. But I’m not in any danger of breaking laws or attracting the Feds, because the file I’m trying to hack belongs to a younger version of me.

Been there, done that. Na szczęście mój własny komputer wystarczył.

Najczęściej używane hasła w 2014 roku →

26 stycznia 2015 · 08:23

Jarek Cała:

Niestety to prawda, hasło „123456” jest najczęściej używanym zabezpieczeniem, jakie użytkownicy stosowali w 2014 roku. Mimo tego, że tak dużo w minionym roku mówiło się w mediach o cyber przestępcach, ludzką naturę ciężko zmienić. Firma SplashData opublikowała raport 25 najpopularniejszych haseł, które wyciekły do sieci na przestrzeni minionych 12 miesięcy i okazuje się, że najprostsze hasło nadal jest najczęściej używane.

Dammit! Znowu muszę kolejny numerek dodać do mojego…

Bój się Chin →

23 stycznia 2015 · 12:52

Craig Hockenberry:

The number of requests peaked out at 52 Mbps. Let’s put that number in perspective: Daring Fireball is notorious for taking down sites by sending them about 500 Kbps of traffic. What we had just experienced was roughly the equivalent of 100 fireballs.

If each of those requests were 500 bytes, that’s 13,000 requests per second. That’s about a third of Google’s global search traffic. Look at how much careful planning went into handling Kim Kardashian’s butt at 8,000 requests per second.

All of this traffic directed at one IP address backed by a single server with a four core CPU.

Like I said, “Holy shit.”

Dlaczego unikać MacKeepera jak ognia →

22 stycznia 2015 · 09:40

Peter Cohen:

Literally every time I work in the computer store, we’ll get a customer whose Mac is plagued with problems they don’t understand: Their Mac is acting slow. It crashes. And more. And in more cases than not, we find that they’ve installed a program called MacKeeper. Removing MacKeeper fixes the problem. So what is MacKeeper and why should you avoid it?

Od czasu do czasu trafiam na osobę, która go zainstalowała z jakiegoś bliżej niewyjaśnionego powodu. Podobnie jak uważa Peter, polecam pozbyć się go tak szybko jak to możliwe.

Nagłówek: Atak hakerski na Centralne Dowództwo amerykańskiej armii →

13 stycznia 2015 · 12:42

kło\mtom na łamach pewnego portalu, który nie linkuje do innych:

Atak hakerski na Centralne Dowództwo amerykańskiej armii.

Żadne tajne informacje nie zostały ujawnione i żadna z nich nie pochodziła z naszych serwerów – oznajmiło Centralne Dowództwo (CENTCOM) amerykańskiej armii, którego konta na Twitterze i Youtubie padły w poniedziałek ofiarami cyberdżihadystów.

Nie wiedziałem, że profile Twittera i YouTube’a CENTCOM-u trzymane są na ich własnych serwerach. Człowiek codziennie uczy się czegoś nowego.

Pierwszy na świecie bootkit dla Maców →

9 stycznia 2015 · 09:39

Dan Goodin:

Securing Macs against stealthy malware infections could get more complicated thanks to a new proof-of-concept exploit that allows attackers with brief physical access to covertly replace the firmware of most machines built since 2011.

Once installed, the bootkit—that is, malware that replaces the firmware that is normally used to boot Macs—can control the system from the very first instruction. That allows the malware to bypass firmware passwords, passwords users enter to decrypt hard drives and to preinstall backdoors in the operating system before it starts running. Because it’s independent of the operating system and hard drive, it will survive both reformatting and OS reinstallation. And since it replaces the digital signature Apple uses to ensure only authorized firmware runs on Macs, there are few viable ways to disinfect infected boot systems. The proof-of-concept is the first of its kind on the OS X platform. While there are no known instances of bootkits for OS X in the wild, there is currently no way to detect them, either.

Nie udostępniajcie swoich komputerów osobom, którym nie ufacie i nie zostawiajcie ich nigdzie bez nadzoru.

Ponad 100 tysięcy instalacji WordPressa zostało zainfekowanych →

16 grudnia 2014 · 21:26

Bartosz Romanowski:

O konieczności regularnego aktualizowania używanych wtyczek i motywów piszę przy każdej możliwej okazji. Tym razem okazja jest szczególna, bowiem ofiarą złośliwego skryptu nazwanego SoakSoak (od adresu jednej ze stron, na które są przekierowywane osoby odwiedzające zainfekowane serwisy) padło (szacunkowo) ponad 100 tysięcy stron korzystających z popularnej wtyczki Slider Revolution (znanej również pod skróconą nazwą RevSlider). Sprawę opisano szczegółowo na blogu Sucuri, ale niestety w mojej ocenie firma ta jest współodpowiedzialna za zaistniałą sytuację.

Jeśli korzystacie z RevSlider/Slider Revolution to koniecznie sprawdźcie czy jesteście zagrożeni – Bartosz opisał co i jak.

Utrata Recovery Key przy 2FA w iCloud grozi utratą konta →

9 grudnia 2014 · 12:49

Husain Sumra:

Williams found that someone had tried to hack his iCloud account. Apple’s two-factor system kicked in and locked the account, denying entry to the would-be hacker while also denying entry to Williams. When he went to iForgot, Apple’s account recovery service, he assumed two of his password, Recovery Key or trusted device would unlock his account, as he was led to believe by an Apple Support document.

Ten klucz to… kluczowa sprawa – w najgorszym wypadku bez niego utracicie całkowicie dostęp do swojego własnego Apple ID. Nie zgubcie go!

Dyrektor FBI, James Comey, chce swobodnego dostępu do smartfonów →

28 października 2014 · 11:07

Julian Hattem:

Comey is asking that Congress update the Communications Assistance for Law Enforcement Act (CALEA), a 1994 law that required telephone companies to make it possible for federal officials to wiretap their users’ phone calls.

Many new mobile applications and other modern devices aren’t included under the law, however, making it difficult if not impossible for police to get a suspect’s records — even with a warrant.

Forcing companies to put in a “backdoor” to give officials access would also open them up to hackers in China and Russia, opponents claim, as well as violate Americans’ constitutional rights to privacy.

Comey claimed the FBI was not looking for a “backdoor” into people’s devices.

“We want to use the front door with clarity and transparency,” he said.

Tak, oczywiście. Clarity transparency. Mhm.

Dropbox – zhackowany czy nie?

14 października 2014 · 08:24

Dropbox został zhackowany! Wykradziono 7 milionów haseł! Nie! Dwadzieścia milionów! Wróć! To setki haseł wyciekło… Sporo takich sloganów dzisiaj i będzie zapewne jeszcze więcej. Zanim jednak zaczniecie panikować to przeczytajcie na spokojnie poniższe – powiem Wam, w którym momencie możecie … Czytaj dalej

Dane na iPhone’ach i iPadach zabezpieczone nawet przed policją →

6 października 2014 · 11:18

Brian X. Chen:

Apple wants to make clear that it wants nobody snooping around in your device, not even the police.

The company said Wednesday night that its latest software system, iOS 8, included deep protection of the information stored on Apple mobile devices. So deep, in fact, that Apple says it has become technically impossible for it to comply with government warrants asking for customer information like photos, email, messages, contacts, call history and notes, to be extracted from devices.

Safari vs. in-app browsers →

28 września 2014 · 20:14

Craig Hockenberry:

An in-app browser is a great tool for quickly viewing web content, especially for things like links in Twitterrific’s timeline. But if you should always open a link in Safari if you have any concern that your information might be collected. Safari is the only app on iOS that comes with Apple’s guarantee of security.

Apple wiedziało o nieprawidłowo zabezpieczonym Find My iPhone od marca 2014 →

25 września 2014 · 16:13

Dell Cameron:

Apple knew as early as March 2014 of a security hole that left the personal data of iCloud users vulnerable, according to leaked emails between the company and a noted security researcher.

The emails, obtained earlier this month by the Daily Dot and reviewed by multiple security experts, show Ibrahim Balic, a London-based software developer, informing Apple of a method he’d discovered for infiltrating iCloud accounts.

Niedopuszczalne. Słabe hasła w takiej sytuacji łamie się w góra kilkadziesiąt minut, częściej w kilkadziesiąt sekund.

Ciekawostka: Google miało identyczny problem, jak wyniki z opublikowanych maili – też im to zgłosił.

Sprawdź czy jesteś podatny na dziurę w bash →

25 września 2014 · 11:27

Wczoraj znaleziono dziurę w bash i dotyczy to przede wszystkim Linuxów, ale również OS X. Możecie sprawdzić czy jesteście bezpieczni czy nie wpisując poniższe do Terminala:

  • env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Przepis na zabezpieczenie się znajdziecie u źródła – ja skorzystałem z tego dla Xcode, którego mam zainstalowanego.

Jak zadbać o swoje bezpieczeństwo w internecie

7 września 2014 · 13:58

Ostatnio ujawniono wiele zdjęć celebrytów w internetach i jak to zwykle bywa, wokół tematu powstają już legendy i niedopowiedzenia. iCloud nie jest bezpieczny. Google Drive ma bugi. OneDrive wysyła wszystko do NSA. Należy zrezygnować z chmury natychmiast. Nie należy robić … Czytaj dalej

Tim Cook: „Będziemy informowali o logowaniu się na konta iCloud” →

5 września 2014 · 09:06

Daisuke Wakabayashi:

Mr. Cook said Apple will alert users via email and push notifications when someone tries to change an account password, restore iCloud data to a new device or when a device logs into an account for the first time. Until now, users got an email when someone tried to change a password or log in for the first time from an unknown Apple device; there were no notifications for restoring iCloud data.

Apple said it plans to start sending the notifications in two weeks. It said the new system will allow users to take action immediately, including changing the password to retake control of the account or alerting Apple’s security team.

To świetna informacja i cieszę się, że aktywniej oraz bardziej otwarcie zaczynają dbać i informować o bezpieczeństwie.

Apple powinno być bardziej otwarte na tematy bezpieczeństwa →

4 września 2014 · 14:54

Matthew Panzarino na łamach TechCrunch:

Apple thinks about security communications in the same way that it thinks about product communications. In other words, it plays its cards incredibly close to the chest at all times by default. These tactics have served it well in the consumer products arena, creating a frenzy of attention around the releases of new devices and services. And that’s great; I don’t mind a little mystery around products as a consumer, even though my job as a reporter is to figure out what Apple could do next and decide whether that’s important enough to talk about publicly.

But in security, this kind of ivory tower comms strategy is a losing game, especially as smartphones become an increasingly information-rich repository of our personal lives. Security will become a feature that is as important as any other widget on our future devices, whichever company they come from. As an industry leader, Apple should re-evaluate the way that it handles security, both internally and externally. Be open, be communicative, be honest and we’ll all be better off.

Wielokrotnie to powtarzałem i zgadzam się (prawie) w pełni z Matthew – Apple powinno inaczej podchodzić do kwestii bezpieczeństwo i komunikacji w tym względzie niż w sprawie pozostałych swoich działów, którymi zajmuje się ich PR. Patrząc na stosunkowo szybką reakcję dwa dni temu, jest nadzieja, że to się zmieni pod Timem Cookiem.