Jeśli chcecie mnie wesprzeć to zapraszam do kupna mojego poradnika "Jakim jesteś Makiem?".

Apple opublikowało FAQ na temat XcodeGhost →

24 września 2015 · 21:26

Apple:

We have no information to suggest that the malware has been used to do anything malicious or that this exploit would have delivered any personally identifiable information had it been used.

We’re not aware of personally identifiable customer data being impacted and the code also did not have the ability to request customer credentials to gain iCloud and other service passwords.

As soon as we recognized these apps were using potentially malicious code we took them down. Developers are quickly updating their apps for users.

Malicious code could only have been able to deliver some general information such as the apps and general system information.

XcodeGhost – poważny atak malware’owy na iOS

23 września 2015 · 12:48

Kilka dni temu wykryto pierwszy prawdziwie poważny atak na iOS-a – dokonali tego chińscy developerzy iOS i opublikowali swoje wyniki na Weibo. Do ataku wykorzystano własne IDE Apple’a – Xcode.

KeyRaider – tweak z Cydii ukradł ponad 200 tys. Apple ID

1 września 2015 · 09:41

Claud Xiao na łamach Palo Alto Networks:

Recently, WeipTech was analyzing suspicious Apple iOS tweaks reported by users and found over 225,000 valid Apple accounts with passwords stored on a server.

In cooperation with WeipTech, we have identified 92 samples of a new iOS malware family in the wild. We have analyzed the samples to determine the author’s ultimate goal and have named this malware “KeyRaider”. We believe this to be the largest known Apple account theft caused by malware.

KeyRaider targets jailbroken iOS devices and is distributed through third-party Cydia repositories in China. In total, it appears this threat may have impacted users from 18 countries including China, France, Russia, Japan, United Kingdom, United States, Canada, Germany, Australia, Israel, Italy, Spain, Singapore, and South Korea.

KeyRaider1 wykrada loginy i hasła do Apple ID, certyfikaty, prywatne klucze i inne dane. Malware jest dostępny w Cydii tylko dla urządzeń z jailbreakiem i tylko jeśli się go zainstaluje. Jest on obecny w ponad 90 tweakach w Cydii, które są z pozoru „bezpieczne”. Niestety, ktoś dokonuje m.in. zakupów w App Store na konta użytkowników, których dane ukradziono. Wśród poszkodowanych są również osoby korzystające z adresów mailowych z Polski.

Jak już wielokrotnie wspominałem, nie polecam jailbreakowania. Nie zwiększa ono bezpieczeństwa użytkowników, a koszt związany z takim krokiem, jak widać powyżej, nie jest mały.

via @Nopik

  1. Zakładając, że Chińczycy piszący o nim mówią prawdę.

Deutsche Telekom wyłącza automatyczne dostarczanie MMS-ów →

6 sierpnia 2015 · 09:04

Deutsche Telekom AG:

Alle Android-Geräte können hiervon betroffen sein – unabhängig vom Netzbetreiber. Betroffen sind Mediendateien – egal über welchen Weg diese empfangen werden (MMS, WhatsApp, Hangouts, Facebook, Youtube etc.). Der kriminelle Zugriff erfolgt über geöffnete Mediendateien (Audio, Video, Foto), die über alle Services auf das Gerät gelangen können. Die Schadsoftware kann sich dann über Adressbuchkontakte weiter verbreiten.

Przypominają przy okazji, że problem dotyczy również innych komunikatorów.

Producenci smartfonów z Androidem śpieszą się z patchem do Stagefrighta →

6 sierpnia 2015 · 09:00

Russell Brandom:

The bug allows an attacker to remotely execute code through a phony multimedia text message, in many cases without the user even seeing the message itself. Google has had months to write a patch and already had one ready when the bug was announced, but as expected, getting the patch through manufacturers and carriers was complicated and difficult.

But then, something unexpected happened: the much-maligned Android update system started to work. Samsung, HTC, LG, Sony and Android One have already announced pending patches for the bug, along with a device-specific patch for the Alcatel Idol 3. In Samsung’s case, the shift has kicked off an aggressive new security policy that will deploy patches month by month, an example that’s expected to inspire other manufacturers to follow suit. Google has announced a similar program for its own Nexus phones. Stagefright seems to have scared manufacturers and carriers into action, and as it turns out, this fragmented ecosystem still has lots of ways to protect itself.

Zamiast miesięcy to kilka tygodni, ale lepiej to niż nie łatanie dziury w ogóle. Mam wrażenie, że w końcu poczuli presję, a to powinno wyjść na dobre końcowym userom. Nadal jednak uważam, że Google powinien z kręgu zainteresowanych wywalić w cholerę operatorów i producentów, i dostarczać tylko czystego Androida z opcją wprowadzania nakładek oraz bloatware’u jako aplikacji przez Google Play.

Thunderstrike 2 – luka w EFI →

4 sierpnia 2015 · 20:34

Maciej Skrzypczak:

Otóż błąd, który się w nim znajduje pozwala zainfekować komputer robakiem Thunderstrike 2 nawet bez dostępu do internetu. Poza tym nie jest wykrywalny przez żadne oprogramowanie antywirusowe. A kiedy już się nim zarazimy istnieje bardzo wiele scenariuszy, w jakich złośliwe oprogramowanie może być wykorzystane — począwszy od „nasłuchiwania” klawiatury (co za tym idzie — kradzież danych), aż po kasowanie danych.

Dziura dosyć poważna, bo potencjalnie daje atakującemu wszystko. Tradycyjnie można się zabezpieczyć kierując się dwoma prostymi zasadami:

  1. Nie zostawiamy komputera bez opieki, aby nikt niepowołany nie miał do niego dostępu.
  2. Nie pobieramy pirackiego oprogramowania, w tym nawet legalnych programów z torrentów i podobnych gdy nie jesteśmy na 100% pewni jego pochodzenia.

Kolejny dzień, kolejna spora luka w Androidzie →

31 lipca 2015 · 07:20

Wish Wu:

We have discovered a vulnerability in Android that can render a phone apparently dead – silent, unable to make calls, with a lifeless screen. This vulnerability is present from Android 4.3 (Jelly Bean) up to the current version, Android 5.1.1 (Lollipop). Combined, these versions account for more than half of Android devices in use today. No patch has been issued in the Android Open Source Project (AOSP) code by the Android Engineering Team to fix this vulnerability since we reported it in late May.

This vulnerability can be exploited in two ways: either via a malicious app installed on the device, or through a specially-crafted web site. The first technique can cause long-term effects to the device: an app with an embedded MKV file that registers itself to auto-start whenever the device boots would case the OS to crash every time it is turned on.

In some ways, this vulnerability is similar to the recently discovered Stagefright vulnerability. Both vulnerabilities are triggered when Android handles media files, although the way these files reach the user differs.

Szczegóły techniczne pod tytułowym linkiem.

Krótki sprawdzian ile Twoich danych wyciekło do internetu →

30 lipca 2015 · 13:47

Josh Keller, Rebecca Lai i Nicole Perlroth:

Answer the questions below to learn which parts of your identity may have been stolen in some of the major hacking attacks over the last two years and what you can do about it. Not all attacks are included here, and many attacks go undetected, so think of your results as a minimum level of exposure.

Żegnaj Androidzie →

30 lipca 2015 · 06:10

Lorenzo Franceschi-Bicchierai:

Last week, I was hanging out with some hackers and security experts at a conference in Brooklyn when I took out my Sony phone.

“Oh! The journalist uses Android. That’s secure!” said one guy next to me, in a highly sarcastic tone.

I dismissed his sarcasm, even though, as someone who writes about information security, I knew that deep down he was right. Just a few days later, his joke now seems almost premonitory.

Przed chwilą szukałem informacji na temat tego czy Google już wysłał uaktualnienie łatające Stagefright, ale z tego co widzę to pojawi się dopiero w przyszłym tygodniu dla Nexusów. Obecnie mam w domu trzy urządzenia z Androidem – każde z nich na 5.x. To dwa Nexusy i jeden GPe. Na obecną chwilę wyjąłem z nich karty SIM, pomimo że to mało prawdopodobne aby ktokolwiek miał te numery, a tym bardziej wysłał mi MMS-a. Ale nigdy nic nie wiadomo…

As security researcher Nicholas Weaver put it in a (now deleted) tweet, ”Imagine if Windows patches had to pass through Dell and your ISP before they came to you? And neither cared? That is called Android.”

Cały proces aktualizacji Androida jest szokująco zły i od jego debiutu nic w tej kwestii nie zrobiono. Powyższy przykład od Lorenzo dodatkowo podkreśla jak debilny jest to problem. Dlatego chrzanię – dopóki Google nie ogarnie update’ów do Androida tak jak robi to Apple to nie kupię żadnego urządzenia z tym systemem.

Wystarczy jeden MMS, aby zhackować telefon z Androidem →

29 lipca 2015 · 08:22

Z Team:

Attackers only need your mobile number, using which they can remotely execute code via a specially crafted media file delivered via MMS. A fully weaponized successful attack could even delete the message before you see it. You will only see the notification. These vulnerabilities are extremely dangerous because they do not require that the victim take any action to be exploited. Unlike spear-phishing, where the victim needs to open a PDF file or a link sent by the attacker, this vulnerability can be triggered while you sleep. Before you wake up, the attacker will remove any signs of the device being compromised and you will continue your day as usual – with a trojaned phone.

Problem dotyczy Android od 2.2 do najnowszego 5.1.1 i pomimo, że Google zareagował bardzo szybko, to nie ma to większego wpływu dla konsumentów, którzy muszą otrzymać OTA. Te niestety pojawiają się z dużym opóźnieniem, a wiele telefonów nie jest już wspierana i nie doczeka się już żadnego uaktualnienia.

Tego typu zagrożenia są przerażająco niebezpieczne – większość userów nawet się nie zorientuje, że zostali zhackowani oraz że mają trojana. Tak zainfekowany smartfon będzie mógł atakującemu dostarczać dźwięk z mikrofonu, obraz z kamery oraz dane z telefonu. Wszystkie.

Więcej praktycznych informacji znajdziecie na Niebezpieczniku. Stay safe.

Jechał 112 km/h kiedy dwóch hackerów przejęło kontrolę nad jego samochodem →

25 lipca 2015 · 08:50

Andy Greenberg:

I was driving 70 mph on the edge of downtown St. Louis when the exploit began to take hold.

Though I hadn’t touched the dashboard, the vents in the Jeep Cherokee started blasting cold air at the maximum setting, chilling the sweat on my back through the in-seat climate control system. Next the radio switched to the local hip hop station and began blaring Skee-lo at full volume. I spun the control knob left and hit the power button, to no avail. Then the windshield wipers turned on, and wiper fluid blurred the glass.

As I tried to cope with all this, a picture of the two hackers performing these stunts appeared on the car’s digital display: Charlie Miller and Chris Valasek, wearing their trademark track suits. A nice touch, I thought.

Włamanie na serwery LastPass – wykradziono emaile i inne dane →

16 czerwca 2015 · 14:16

LastPass:

We want to notify our community that on Friday, our team discovered and blocked suspicious activity on our network. In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, however, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.

Dlatego wolę mieć takie dane u siebie – 1Password [App Store] oferuje synchronizację naszej bazy danych po Wi-Fi, z pominięciem internetu.

Motorola 270 działa z iOS; zacznie sprzedawać się jak ciepłe bułeczki →

23 lutego 2015 · 14:42

Norbert Cała:

Mohammad Abu-Garbeyyeh (odpowiada na pytania na Reddit) zmusił zegarek z Android Wear do współpracy z iOS. Co ciekawe nie wymaga to żadnej ingerencji w iOS bowiem wykorzystuje Apple Notification Center Service (ANCS). Czyli hack dotyczy jedynie zegarka z Andorid Wear i zmuszenia go żeby zachowywał się jak np Pebble.

A tak na poważnie to mimo wszystko jestem ciekawy na ile to wpłynie na sprzedaż Androidowych zegarków – podejrzewam, że skończy się na odłożeniu ich do szuflady po pierwszym podnieceniu.

Hackowanie własnej przeszłości →

16 lutego 2015 · 10:56

Kevin Roose:

I’m sitting at my desk in California, eating a Chipotle lunch while controlling a mega-server located several hundred miles away in Oregon. With a few lines of code, I’m telling the server to pour all of its processing power onto a single file. My goal is to bypass this file’s security by brute-force cracking its password, testing millions of possible combinations before I find the right one. Normally, this mission would be deep into black-hat territory. But I’m not in any danger of breaking laws or attracting the Feds, because the file I’m trying to hack belongs to a younger version of me.

Been there, done that. Na szczęście mój własny komputer wystarczył.

Nagłówek: Atak hakerski na Centralne Dowództwo amerykańskiej armii →

13 stycznia 2015 · 12:42

kło\mtom na łamach pewnego portalu, który nie linkuje do innych:

Atak hakerski na Centralne Dowództwo amerykańskiej armii.

Żadne tajne informacje nie zostały ujawnione i żadna z nich nie pochodziła z naszych serwerów – oznajmiło Centralne Dowództwo (CENTCOM) amerykańskiej armii, którego konta na Twitterze i Youtubie padły w poniedziałek ofiarami cyberdżihadystów.

Nie wiedziałem, że profile Twittera i YouTube’a CENTCOM-u trzymane są na ich własnych serwerach. Człowiek codziennie uczy się czegoś nowego.

Pierwszy na świecie bootkit dla Maców →

9 stycznia 2015 · 09:39

Dan Goodin:

Securing Macs against stealthy malware infections could get more complicated thanks to a new proof-of-concept exploit that allows attackers with brief physical access to covertly replace the firmware of most machines built since 2011.

Once installed, the bootkit—that is, malware that replaces the firmware that is normally used to boot Macs—can control the system from the very first instruction. That allows the malware to bypass firmware passwords, passwords users enter to decrypt hard drives and to preinstall backdoors in the operating system before it starts running. Because it’s independent of the operating system and hard drive, it will survive both reformatting and OS reinstallation. And since it replaces the digital signature Apple uses to ensure only authorized firmware runs on Macs, there are few viable ways to disinfect infected boot systems. The proof-of-concept is the first of its kind on the OS X platform. While there are no known instances of bootkits for OS X in the wild, there is currently no way to detect them, either.

Nie udostępniajcie swoich komputerów osobom, którym nie ufacie i nie zostawiajcie ich nigdzie bez nadzoru.

Specjaliści od bezpieczeństwa wątpią, że to Korea Północna zaatakowała Sony →

26 grudnia 2014 · 22:48

Nicole Perlroth:

President Obama and the F.B.I. last week accused North Korea of targeting Sony and pledged a “proportional response” just hours before North Korea’s Internet went dark without explanation. But security researchers remain skeptical, with some even likening the government’s claims to those of the Bush administration in the build-up to the Iraq war.

Nie interesowałem się tym tematem przez ostatnich kilkanaście dni, bo miałem inne rzeczy na głowie. Nie podejrzewałem jednak, że to bezpośrednio rząd Korei Płn. stoi za atakiem, a raczej jakaś grupa hackerów – pomyślałem, że po prostu wykorzystali fakt, żeby zrobić zadymę medialną z powodu filmu „The Interview”. Jednocześnie od razu pomyślałem, że to USA wyłączyło im internet wczoraj czy też dwa dni temu.

Problemem tutaj jednak nie jest ani hack na Sony, ani kto to zrobił, ale to, że rządy na świecie mają tak duży wpływ na działanie (lub nie) internetu. Jeszcze nadejdzie dzień, w którym ktoś go nam wyłączy… Jeśli istnieje cokolwiek na świecie co powinno być wolne od kontroli rządowej to właśnie nasz ukochany internet.

Hackerzy, którzy zdjęli PSN i Xbox Live teraz celują w Tora →

26 grudnia 2014 · 22:11

Kate Knibbs:

Uh oh. Lizard Patrol, the hacking group claiming responsibility for the Christmas attacks on PlayStation and Xbox Live, has announced a new target: Tor, the anonymous internet service.

Być może za atakami stoi jakaś ideologia czy powód, ale szczerze mówiąc mam to gdzieś – są Święta i mam czas pograć. Utrudniają życie normalnym ludziom.

Włamanie do ICANN →

18 grudnia 2014 · 14:07

James Vincent:

ICANN — the organization responsible for allocating IP addresses and domain names for the internet — has been hacked. The US-administered non-profit has said that its internal systems were breached following a spear phishing attack in late November. Employees were tricked into giving up their credentials after receiving emails apparently sent from the organization’s own domain.

Wykradli sporo informacji – hasła rzekomo są zaszyfrowane. Pytanie teraz jak dobrze…

Dyrektor FBI, James Comey, chce swobodnego dostępu do smartfonów →

28 października 2014 · 11:07

Julian Hattem:

Comey is asking that Congress update the Communications Assistance for Law Enforcement Act (CALEA), a 1994 law that required telephone companies to make it possible for federal officials to wiretap their users’ phone calls.

Many new mobile applications and other modern devices aren’t included under the law, however, making it difficult if not impossible for police to get a suspect’s records — even with a warrant.

Forcing companies to put in a “backdoor” to give officials access would also open them up to hackers in China and Russia, opponents claim, as well as violate Americans’ constitutional rights to privacy.

Comey claimed the FBI was not looking for a “backdoor” into people’s devices.

“We want to use the front door with clarity and transparency,” he said.

Tak, oczywiście. Clarity transparency. Mhm.

Dropbox – zhackowany czy nie?

14 października 2014 · 08:24

Dropbox został zhackowany! Wykradziono 7 milionów haseł! Nie! Dwadzieścia milionów! Wróć! To setki haseł wyciekło… Sporo takich sloganów dzisiaj i będzie zapewne jeszcze więcej. Zanim jednak zaczniecie panikować to przeczytajcie na spokojnie poniższe – powiem Wam, w którym momencie możecie … Czytaj dalej

Safari vs. in-app browsers →

28 września 2014 · 20:14

Craig Hockenberry:

An in-app browser is a great tool for quickly viewing web content, especially for things like links in Twitterrific’s timeline. But if you should always open a link in Safari if you have any concern that your information might be collected. Safari is the only app on iOS that comes with Apple’s guarantee of security.

Apple wiedziało o nieprawidłowo zabezpieczonym Find My iPhone od marca 2014 →

25 września 2014 · 16:13

Dell Cameron:

Apple knew as early as March 2014 of a security hole that left the personal data of iCloud users vulnerable, according to leaked emails between the company and a noted security researcher.

The emails, obtained earlier this month by the Daily Dot and reviewed by multiple security experts, show Ibrahim Balic, a London-based software developer, informing Apple of a method he’d discovered for infiltrating iCloud accounts.

Niedopuszczalne. Słabe hasła w takiej sytuacji łamie się w góra kilkadziesiąt minut, częściej w kilkadziesiąt sekund.

Ciekawostka: Google miało identyczny problem, jak wyniki z opublikowanych maili – też im to zgłosił.

Sprawdź czy jesteś podatny na dziurę w bash →

25 września 2014 · 11:27

Wczoraj znaleziono dziurę w bash i dotyczy to przede wszystkim Linuxów, ale również OS X. Możecie sprawdzić czy jesteście bezpieczni czy nie wpisując poniższe do Terminala:

  • env x='() { :;}; echo vulnerable' bash -c 'echo hello'

Przepis na zabezpieczenie się znajdziecie u źródła – ja skorzystałem z tego dla Xcode, którego mam zainstalowanego.

Jak zadbać o swoje bezpieczeństwo w internecie

7 września 2014 · 13:58

Ostatnio ujawniono wiele zdjęć celebrytów w internetach i jak to zwykle bywa, wokół tematu powstają już legendy i niedopowiedzenia. iCloud nie jest bezpieczny. Google Drive ma bugi. OneDrive wysyła wszystko do NSA. Należy zrezygnować z chmury natychmiast. Nie należy robić … Czytaj dalej

Tim Cook: „Będziemy informowali o logowaniu się na konta iCloud” →

5 września 2014 · 09:06

Daisuke Wakabayashi:

Mr. Cook said Apple will alert users via email and push notifications when someone tries to change an account password, restore iCloud data to a new device or when a device logs into an account for the first time. Until now, users got an email when someone tried to change a password or log in for the first time from an unknown Apple device; there were no notifications for restoring iCloud data.

Apple said it plans to start sending the notifications in two weeks. It said the new system will allow users to take action immediately, including changing the password to retake control of the account or alerting Apple’s security team.

To świetna informacja i cieszę się, że aktywniej oraz bardziej otwarcie zaczynają dbać i informować o bezpieczeństwie.

Narzędzie przeznaczone dla policji w rękach hackerów →

3 września 2014 · 18:56

Andy Greenberg:

On the web forum Anon-IB, one of the most popular anonymous image boards for posting stolen nude selfies, hackers openly discuss using a piece of software called EPPB or Elcomsoft Phone Password Breaker to download their victims’ data from iCloud backups. That software is sold by Moscow-based forensics firm Elcomsoft and intended for government agency customers. In combination with iCloud credentials obtained with iBrute, the password-cracking software for iCloud released on Github over the weekend, EPPB lets anyone impersonate a victim’s iPhone and download its full backup rather than the more limited data accessible on iCloud.com.

Posłuchajcie dzisiejszego odcinka Nadgryzionych – dobre hasło to podstawa bezpieczeństwa. A dobre hasło składa się z przynajmniej 13 znaków. No i oczywiście polecam narzędzie typu 1Password dla OS X i iOS [App Store link], pod warunkiem, że hasło do samego 1Password będzie trudno – inaczej mija się to z celem.

Apple’owe two factor authentication nie zawsze działa prawidłowo →

2 września 2014 · 20:03

Michael Rose:

It turns out that I was also being more generous than wise in assuming that iCloud would proactively send an email alert when photos or bookmarks were synced to an unknown computer. I decided to test that assumption, using a fresh (spun up and installed from scratch) Windows 8 virtual machine running on Parallels 10.

After installing the iCloud Control Panel for Windows (as seen above), I logged in with my iCloud credentials and checked off the options to synchronize bookmarks and photos with my new, never-before-seen PC. Within a few minutes, my photo stream photos downloaded neatly into the appropriate folders and my bookmarks showed up in my Windows-side browser, and nary a 2FA alert to be seen. I turned to my iCloud email account to wait for the obligatory „Your account was accessed from a new computer” courtesy alert… which never arrived.

Zakładam, że Michael pisze prawdę. W moim przypadku, przy dodawaniu konta iCloud przez Preferencje Systemowe musiałem autoryzować komputer. Okazuje się, że nie zawsze tak jest. Inne źródła donoszą, że ta funkcja jest nadal rozwijana i stąd biorę się problemy. Wiem jak to działa w Google’u, bo mam tam 2FA też włączone – mam z tym wieczne problemy, ale całość nie pozwoli mi się zalogować bez mojej zgody. Czasami nawet ze zgodą też nie… Nie wiem czy to z tego powodu Apple opóźnia się z prawidłową implementacją, ale w takiej sytuacji to chyba już bezpieczniej stworzyć wirtualną tożsamość i dobre pytania zabezpieczające niż polegać na 2FA.