Jeśli chcecie mnie wesprzeć to zapraszam do kupna mojego poradnika "Jakim jesteś Makiem?".

Narzędzie przeznaczone dla policji w rękach hackerów →

3 września 2014 · 18:56

Andy Greenberg:

On the web forum Anon-IB, one of the most popular anonymous image boards for posting stolen nude selfies, hackers openly discuss using a piece of software called EPPB or Elcomsoft Phone Password Breaker to download their victims’ data from iCloud backups. That software is sold by Moscow-based forensics firm Elcomsoft and intended for government agency customers. In combination with iCloud credentials obtained with iBrute, the password-cracking software for iCloud released on Github over the weekend, EPPB lets anyone impersonate a victim’s iPhone and download its full backup rather than the more limited data accessible on iCloud.com.

Posłuchajcie dzisiejszego odcinka Nadgryzionych – dobre hasło to podstawa bezpieczeństwa. A dobre hasło składa się z przynajmniej 13 znaków. No i oczywiście polecam narzędzie typu 1Password dla OS X i iOS [App Store link], pod warunkiem, że hasło do samego 1Password będzie trudno – inaczej mija się to z celem.

Apple’owe two factor authentication nie zawsze działa prawidłowo →

2 września 2014 · 20:03

Michael Rose:

It turns out that I was also being more generous than wise in assuming that iCloud would proactively send an email alert when photos or bookmarks were synced to an unknown computer. I decided to test that assumption, using a fresh (spun up and installed from scratch) Windows 8 virtual machine running on Parallels 10.

After installing the iCloud Control Panel for Windows (as seen above), I logged in with my iCloud credentials and checked off the options to synchronize bookmarks and photos with my new, never-before-seen PC. Within a few minutes, my photo stream photos downloaded neatly into the appropriate folders and my bookmarks showed up in my Windows-side browser, and nary a 2FA alert to be seen. I turned to my iCloud email account to wait for the obligatory „Your account was accessed from a new computer” courtesy alert… which never arrived.

Zakładam, że Michael pisze prawdę. W moim przypadku, przy dodawaniu konta iCloud przez Preferencje Systemowe musiałem autoryzować komputer. Okazuje się, że nie zawsze tak jest. Inne źródła donoszą, że ta funkcja jest nadal rozwijana i stąd biorę się problemy. Wiem jak to działa w Google’u, bo mam tam 2FA też włączone – mam z tym wieczne problemy, ale całość nie pozwoli mi się zalogować bez mojej zgody. Czasami nawet ze zgodą też nie… Nie wiem czy to z tego powodu Apple opóźnia się z prawidłową implementacją, ale w takiej sytuacji to chyba już bezpieczniej stworzyć wirtualną tożsamość i dobre pytania zabezpieczające niż polegać na 2FA.

Internet to seria przewodów łączących nas z dupkami →

2 września 2014 · 18:17

T.C. Sottek:

„The internet” is just a series of tubes, connecting us to miserable assholes from around the world. In the coming days we’ll find out who leaked the photos and which room of the house they did it in and which weapon they used, but those details are just a different kind of pornography for people who would rather know the caliber of a mass shooter’s guns instead of the names of his victims.

The perpetrator of this crime will probably one day be unmasked, vilified by the decent and heroized by jerks, and then fall into oblivion the moment they’re shipped to prison. (Remember Christopher Chaney? Exactly.) But just like the photos themselves, the jerks who inflamed this spectacle, the ones who shared the photos and poked the victims publicly, will still be around.

Najlepszy VPN dla iOS i OS X →

2 września 2014 · 09:45

Bradley Chambers:

With its “set it and forget it” approach, Cloak is the easiest VPN to use. It automatically connects to the VPN from any Wi-Fi network except the ones you have white-listed. TunnelBear has more competitive pricing, but it requires you to manually connect when you want to secure your connection.

Nadzy użytkownicy smartfonów →

1 września 2014 · 18:33

Paweł Luty:

Z tak zwanej chmury wykradziono setki zdjęć, na których widać rozebrane gwiazdy. Chodzi konkretnie o usługę iCloud, którą oferuje firma Apple. Do tej kradzieży doszło być może dlatego, że celebrytki nie do końca dobrze ochroniły swoje dane.

Jennifer Lawrence, Kate Upton, Kirsten Dunst czy Kim Kardashian – to ofiary kradzieży nagich zdjęć z iCloud. Same znane osoby, które powinny liczyć się z tym, że ktoś będzie chciał dotrzeć do plików zapisanych na ich telefonach. Dlatego też powinny się szczególnie zabezpieczać. Ale nie tylko one.

Jak włączyć podwójne uwierzytelnianie w iCloud

1 września 2014 · 12:01

Nasze Apple ID od jakiegoś czasu wspierają two-factor authentication, które ma za zadanie zweryfikować naszą tożsamość poprzez potwierdzenie jej z naszego drugiego urządzenia, na przykład iPhone’a. Jeśli ktoś będzie się chciał zalogować na nasze Apple ID to nie zrobi tego jeśli fizycznie nie … Czytaj dalej

Jak się „włamać do chmury” w pięciu krokach

1 września 2014 · 11:16

Wszyscy dzisiaj zachwycają się zdjęciami nagich celebrytek – nie wiem gdzie one są, ani dokładnie kogo zdjęcia opublikowali, bo średnio mnie to interesuje i nie mam też zamiaru się zniżać do poziomu złodziei. Ważniejsza jest jednak kwestia wykradzenia tych zdjęć … Czytaj dalej

„Wyciek” – tak się teraz nazywa włamanie z kradzieżą? →

1 września 2014 · 10:50

Damian Jaroszewski:

Niedzielnym wieczorem doszło do ogromnego wycieku danych z chmury iCloud. Ofiarami były gwiazdy telewizji, kina i czasopism. W serwisie 4chan pojawiły się nagie zdjęcia wielu celebrytów, w tym zdobywczyni Oscara – Jennifer Lawrence, czy też znanej modelki – Kate Upton.

Nazywajmy rzecz po imieniu – ktoś się włamał na konta celebrytek i ukradł im zdjęcia. Szczegółów dokładnych jeszcze nie znamy, ale jestem w stanie się założyć, że nikt się na żadne serwery iClouda, GDrive’a, Dropboxa czy gdziekolwiek indziej nie włamał. Nie ma to po prostu sensu, bo łatwiej i szybciej włamać się na czyjeś konto, odgadując hasło tej osoby poprzez pytania pomocnicze chociażby.

P.S. Umówmy się – dla technologicznych większym newsem niż gołe cycki jest słowo „iCloud”. To się przecież sprzeda.

Uważajcie na kradzione iPhone’y na Allegro →

25 sierpnia 2014 · 15:41

Już o tym kiedyś pisałem, ale czasami warto powtórzyć, szczególnie że jeden z moich czytelników (dzięki Max!) podesłał linka od aukcji z kradzionym 5C. Jak widać po obrazku na ekranu, właściciel, za pomocą Find My iPhone, przekazał co myśli o nowym właścicielu. Sprzedający pomimo tego pisze…

niestety ma blokadę apple id
myślę, że można go naprawić

Ma. Nie można, a na pewno nie uczciwie. Aż mam ochotę go kupić, aby oddać właścicielowi… Zadzwoniłem przed chwilą do niego, ale nie odbiera…

Wracając jednak do tematu okazji – jeśli cena jest zbyt piękna, aby była prawdziwa to zazwyczaj tak jest. Nie kupujcie takich sprzętów – jest tego mnóstwo.

Jak radzić sobie gdy padnie NAS lub dyski w nim →

23 sierpnia 2014 · 22:17

Ganesh:

I woke up last Saturday morning to incessant beeping from the recently commissioned Synology DS414j. All four HDD lights were blinking furiously and the status light was glowing orange. The unit’s web UI was inaccessible. Left with no other option, I powered down the unit with a long press of the front panel power button and restarted it. This time around, the web UI was accessible, but I was presented with the dreaded message that there were no hard drives in the unit.

Pierwszym i największym problemem w sytuacji jakiegokolwiek padu jest panikowanie, a to moment w którym należy zachować maksymalną trzeźwość umysłu – stało się potencjalnie najgorsze, ale to użytkownik może spowodować, że dane będą kompletnie nie do odzyskania. Polecam Wam przeczytanie tego jak postąpił Ganesh, aby w razie czego wiedzieć co robić w takim konkretnym przypadku, ale przede wszystkim po to, abyście zobaczyli jak spokojnie podszedł do tematu.

Phishing danych do logowania się na konto Apple →

21 sierpnia 2014 · 18:25

Norbert Cała:

Oddaję głos mojemu czytelnikowi Bartoszowi Kubiczek – ku przestrodze dla wszystkich. Od siebie dodam, że również dostałem takiego maila, a same ekrany systemu wyłudzającego (zrzut ekranu u góry) wyglądają dość podobnie do tych od Apple. Na ekranie iPhone’a można się łatwo pomylić. Ciekawy jest też fakt, że do wyłudzeń używana jest strona polskiej firmy zajmującej się remontami.

Fakt: Płatności zbliżeniowe mogą być niebezpieczne →

19 sierpnia 2014 · 18:28

Marcin Połowianiuk:

Fakt: Karta płatnicza z technologią zbliżeniową pozwala zapłacić zarówno w nowoczesnym terminalu obsługującym płatności zbliżeniowe, jak i we wszystkich starszych terminalach, do których trzeba włożyć chip karty. Z kolei płatność smartfonem lub naklejką zbliżeniową wymaga odpowiedniego terminala.

Nie będę się powtarzał, więc odwołam Was tutaj, tutaj i tutaj. A tutaj macie darmowy projekt na GitHubie na Androida do emulowania i zbierania danych o kartach. No i nie zapomnijcie obejrzeć tego.

Kilka porad jak zabezpieczyć Synology przed hackerami →

5 sierpnia 2014 · 11:56

Gabe Weatherhead:

The Synology has a nice option to block IP addresses with more than 5 failed login attempts. This is really just swatting at flies most of the time. It’s a better idea to change the SSH port.

Ma kilka ciekawych porad – skorzystajcie z nich.

NASy Synology pod atakiem; hackerzy żądają kasy →

5 sierpnia 2014 · 11:53

Ryan Smith:

Dubbed SynoLocker, the ransomware is targeting Internet-exposed Synology servers and utilizing a hereto-unknown exploit to break in to those systems. From there SynoLocker engages in a Cryptolocker-like ransom scheme, encrypting files stored on the server and then holding the key ransom. The attackers are currently ransoming the key for 0.6 Bitcoins (roughly $350 USD), a hefty price to pay to get your files back.

Natychmiast odłączcie swoje Synology od internetu (a najlepiej wyłączcie je) i skontaktujcie się z supportem firmy, która Was pokieruje. Koszt odblokowania plików po ataku wynosi $350.

Signal – app do nawiązywania szyfrowanych połączeń telefonicznych, których nie można podsłuchać →

30 lipca 2014 · 10:45

Russell Brandom:

It’s called Signal, a free iOS app aiming for the simplest and easiest encrypted call you’ll ever make. (No relation to the telecom startup of the same name.) The sign-up is as close to seamless as it gets: Just enter your phone number, put in the confirmation code, and you’ll be ready.

Aplikację znajdziecie w App Store, tutaj.

Zrób backup przed zainstalowaniem OS X Yosemite Public Beta!

23 lipca 2014 · 20:08

Wielu z Was będzie jutro instalowało OS X Yosemite Public Beta – oczywiście o ile załapiecie się na listę pierwszego miliona użytkowników, którzy się do niej zgłosili. Niestety, ale wielu z Was wykona upgrade bez jakiegokolwiek zabezpieczenia, zupełnie jakbyście uprawiali seks z … Czytaj dalej

Jak zhackować Androida natywną aplikacją Google’a →

21 lipca 2014 · 18:22

Niebezpiecznik:

iPhone ma swoją Siri, a Android korzysta z Google Voice Search (GVS), aplikacji systemowej obecnej także w customowych wersjach Androida. Okazuje się, że GVS można bardzo prosto wykorzystać do obejścia modelu uprawnień na Androidzie, a to pozwala każdej aplikacji m.in. na podsłuchiwanie właściciela smartphona, podszywanie się pod niego lub wykradanie jego danych — oto, na czym polega atak.

Antywirusy nie wykrywają tego hacka. Można go ograniczyć dodając kod do blokady ekranu co spowoduje, że atak będzie możliwy tylko przy odblokowany ekranie. Dla pełnego bezpieczeństwa należy usunąć aplikację Google Search.

Niebezpiecznik na temat PDFa Zdziarskiego →

21 lipca 2014 · 13:02

Niebezpiecznik:

Ustawiłeś skomplikowane hasło blokady ekranu w swoim iPhone. Jako świadomy czytelnik Niebezpiecznika wyłączyłeś nawet nawet dający się łatwo obejść czytnik linii papilarnych TouchID. Myślisz, że teraz służby nie mają szans, aby dostać się do zaszyfrowanych na twoim zablokowanym telefonie danych. Błąd!

W zaskakująco sensacyjnym tonie, jakiego się po nich nie spodziewałem, tłumaczą większość z luk opisanych przez Jonathana Zdziarskiego, a podsumowują całość słowami…

O ile nie podpadłeś służbom, zapewne nie powinieneś się niczego obawiać. Jest mało prawdopodobne, aby złodziej, który pozyskał Twój telefon był w stanie uruchomić procedurę odzyskiwania z niego danych w siedzibie Apple (bo potrzebny jest prokuratorski wniosek). Bardziej prawdopodobne jest to, że złodziejowi uda się przejąć kontrolę nad serwerem MDM w twojej firmie (o ile twój telefon jest centralnie zarządzany) — wtedy wszystkie powyższe ataki mogą się powieść.

Zasada jest prosta – telefonu, samochodu ani żony się nie pożycza.

System backupów Matta Gemmella →

26 czerwca 2014 · 14:30

Matt GemmellL

It frightens me to think that many people probably don’t have any backups at all. “My computer crashed” is so far from being an acceptable excuse for data loss in this day and age, yet I hear it frustratingly often. If your data is only in one location, you’re being an idiot.

Remote backup services are incredibly cheap. External drives are incredibly cheap. Backup software is incredibly cheap. The only thing that isn’t cheap is your time, and the amount of effort and agony involved in recovering (or, worse, recreating) lost data.

I don’t want to have to even think about the possibility of data loss, so I have multiple backup systems running all the time.

Jeśli dzisiaj macie przeczytać tylko jeden artykuł w internecie to upewnijcie się, że to będzie ten. Dla Waszego własnego dobra. Mój niekompletny system backupów znajdziecie tutaj.

Jak uruchomić szyfrowanie dysku FileVault 2 na Mac OS X

19 czerwca 2014 · 00:15

Staram się unikać polityki. Staram się też trzymać od niej z daleka tutaj i na serwisach społecznościowych. Jak zapewne wiecie już, próbowano dzisiaj odebrać redaktorowi naczelnemu Wprost jego MacBooka. Sylwester Latkowski ułatwiłby sobie jednak trochę życie gdyby tylko miał włączony … Czytaj dalej

Jak dobrze firmy technologiczne zabezpieczają nasze dane? →

13 czerwca 2014 · 23:31

Steve Henn dla NPR:

What happens to your information online? Is it safe? Is it private? (…)

Several months ago, the Electronic Frontier Foundation asked major Web service providers whether they were taking five steps that EFF believes help keep consumers’ data safe and secure. We reached out to each of the companies on this list to see what they were doing now. Some are not using encryption (no), some declined to give us specifics (unknown), some were adding those services (working on it) and some were good to go (yes).

Google i Twitter w czołówce. Apple poinformował autora, że właśnie wdrażają szyfrowane połączenia z Yahoo, Gmail i innymi.

Technicznie o generowaniu losowych MAC adresów w iOS 8 →

10 czerwca 2014 · 16:39

Michał Mynarski:

Adres MAC można sobie wyobrazić jako indywidualny, niepodważalny identyfikator sieciowy przypisany do karty/modułu sieciowego, zawierający dane np. o producencie danego sprzętu (ang. vendor). Wysyłane przez urządzenia pakiety powitalne wertują przestrzeń w poszukiwaniu wszystkich dostępnych sieci i znanych access pointów specyfikowanych m.in. poprzez SSID takiego routera. Jeżeli na taki trafią, dochodzi do „uściśnięcia dłoni” (ang. handshake) i nawiązania połączenia.