hacker | Makowe ABC

Internet to seria przewodów łączących nas z dupkami →

2 września 2014 · 18:17

T.C. Sottek:

„The internet” is just a series of tubes, connecting us to miserable assholes from around the world. In the coming days we’ll find out who leaked the photos and which room of the house they did it in and which weapon they used, but those details are just a different kind of pornography for people who would rather know the caliber of a mass shooter’s guns instead of the names of his victims.

The perpetrator of this crime will probably one day be unmasked, vilified by the decent and heroized by jerks, and then fall into oblivion the moment they’re shipped to prison. (Remember Christopher Chaney? Exactly.) But just like the photos themselves, the jerks who inflamed this spectacle, the ones who shared the photos and poked the victims publicly, will still be around.

Jak (prawdopodobnie) uzyskano dostęp do kont iCloud (i innych) Jennifer Lawrence i pozostałych celebrytek

1 września 2014 · 23:08

Wczoraj wyciekły zdjęcia znanych aktorek, o czym pisałem dzisiaj rano. W międzyczasie już wszyscy i ich wujek napisali, że winę za to ponosi iCloud i tym samym Apple. Firma z Cupertino jest w końcu gorącym tematem i należy wycisnąć z niej … Czytaj dalej →

Nadzy użytkownicy smartfonów →

1 września 2014 · 18:33

Paweł Luty:

Z tak zwanej chmury wykradziono setki zdjęć, na których widać rozebrane gwiazdy. Chodzi konkretnie o usługę iCloud, którą oferuje firma Apple. Do tej kradzieży doszło być może dlatego, że celebrytki nie do końca dobrze ochroniły swoje dane.

Jennifer Lawrence, Kate Upton, Kirsten Dunst czy Kim Kardashian – to ofiary kradzieży nagich zdjęć z iCloud. Same znane osoby, które powinny liczyć się z tym, że ktoś będzie chciał dotrzeć do plików zapisanych na ich telefonach. Dlatego też powinny się szczególnie zabezpieczać. Ale nie tylko one.

Jak włączyć podwójne uwierzytelnianie w iCloud

1 września 2014 · 12:01

Nasze Apple ID od jakiegoś czasu wspierają two-factor authentication, które ma za zadanie zweryfikować naszą tożsamość poprzez potwierdzenie jej z naszego drugiego urządzenia, na przykład iPhone’a. Jeśli ktoś będzie się chciał zalogować na nasze Apple ID to nie zrobi tego jeśli fizycznie nie … Czytaj dalej →

Jak się „włamać do chmury” w pięciu krokach

1 września 2014 · 11:16

Wszyscy dzisiaj zachwycają się zdjęciami nagich celebrytek – nie wiem gdzie one są, ani dokładnie kogo zdjęcia opublikowali, bo średnio mnie to interesuje i nie mam też zamiaru się zniżać do poziomu złodziei. Ważniejsza jest jednak kwestia wykradzenia tych zdjęć … Czytaj dalej →

„Wyciek” – tak się teraz nazywa włamanie z kradzieżą? →

1 września 2014 · 10:50

Damian Jaroszewski:

Niedzielnym wieczorem doszło do ogromnego wycieku danych z chmury iCloud. Ofiarami były gwiazdy telewizji, kina i czasopism. W serwisie 4chan pojawiły się nagie zdjęcia wielu celebrytów, w tym zdobywczyni Oscara – Jennifer Lawrence, czy też znanej modelki – Kate Upton.

Nazywajmy rzecz po imieniu – ktoś się włamał na konta celebrytek i ukradł im zdjęcia. Szczegółów dokładnych jeszcze nie znamy, ale jestem w stanie się założyć, że nikt się na żadne serwery iClouda, GDrive’a, Dropboxa czy gdziekolwiek indziej nie włamał. Nie ma to po prostu sensu, bo łatwiej i szybciej włamać się na czyjeś konto, odgadując hasło tej osoby poprzez pytania pomocnicze chociażby.

P.S. Umówmy się – dla technologicznych większym newsem niż gołe cycki jest słowo „iCloud”. To się przecież sprzeda.

Najbezpieczniejszy Blackphone złamany w 5 minut →

13 sierpnia 2014 · 14:00

Tom Phelan:

The Blackphone, billed as a super-secure consumer alternative to standard smartphones, has been successfully hacked.

At the recent DefCon hacking conference @TeamAndIRC hacked the phone and gained root access within five minutes, without unlocking the bootloader. The hack comes hot on the heels of research aired at the Black Hat security conference that showed a serious vulnerability within Google’s Nest Thermostat.

Dopóki ludzie będą pisali oprogramowanie, tak długo inni będą znajdowali w nich dziury. Nie sądzę, abyśmy kiedykolwiek stworzyli coś do czego nie da się włamać.

Porady Synology jak zabezpieczyć NAS →

5 sierpnia 2014 · 14:33

Just do it. Wasze dane zapewne są więcej warte niż $350, ale po co złodziejom dawać kasę?

via @mirekf

Kilka porad jak zabezpieczyć Synology przed hackerami →

5 sierpnia 2014 · 11:56

Gabe Weatherhead:

The Synology has a nice option to block IP addresses with more than 5 failed login attempts. This is really just swatting at flies most of the time. It’s a better idea to change the SSH port.

Ma kilka ciekawych porad – skorzystajcie z nich.

NASy Synology pod atakiem; hackerzy żądają kasy →

5 sierpnia 2014 · 11:53

Ryan Smith:

Dubbed SynoLocker, the ransomware is targeting Internet-exposed Synology servers and utilizing a hereto-unknown exploit to break in to those systems. From there SynoLocker engages in a Cryptolocker-like ransom scheme, encrypting files stored on the server and then holding the key ransom. The attackers are currently ransoming the key for 0.6 Bitcoins (roughly $350 USD), a hefty price to pay to get your files back.

Natychmiast odłączcie swoje Synology od internetu (a najlepiej wyłączcie je) i skontaktujcie się z supportem firmy, która Was pokieruje. Koszt odblokowania plików po ataku wynosi $350.

Signal – app do nawiązywania szyfrowanych połączeń telefonicznych, których nie można podsłuchać →

30 lipca 2014 · 10:45

Russell Brandom:

It’s called Signal, a free iOS app aiming for the simplest and easiest encrypted call you’ll ever make. (No relation to the telecom startup of the same name.) The sign-up is as close to seamless as it gets: Just enter your phone number, put in the confirmation code, and you’ll be ready.

Aplikację znajdziecie w App Store, tutaj.

Jak zhackować Androida natywną aplikacją Google’a →

21 lipca 2014 · 18:22

Niebezpiecznik:

iPhone ma swoją Siri, a Android korzysta z Google Voice Search (GVS), aplikacji systemowej obecnej także w customowych wersjach Androida. Okazuje się, że GVS można bardzo prosto wykorzystać do obejścia modelu uprawnień na Androidzie, a to pozwala każdej aplikacji m.in. na podsłuchiwanie właściciela smartphona, podszywanie się pod niego lub wykradanie jego danych — oto, na czym polega atak.

Antywirusy nie wykrywają tego hacka. Można go ograniczyć dodając kod do blokady ekranu co spowoduje, że atak będzie możliwy tylko przy odblokowany ekranie. Dla pełnego bezpieczeństwa należy usunąć aplikację Google Search.

Niebezpiecznik na temat PDFa Zdziarskiego →

21 lipca 2014 · 13:02

Niebezpiecznik:

Ustawiłeś skomplikowane hasło blokady ekranu w swoim iPhone. Jako świadomy czytelnik Niebezpiecznika wyłączyłeś nawet nawet dający się łatwo obejść czytnik linii papilarnych TouchID. Myślisz, że teraz służby nie mają szans, aby dostać się do zaszyfrowanych na twoim zablokowanym telefonie danych. Błąd!

W zaskakująco sensacyjnym tonie, jakiego się po nich nie spodziewałem, tłumaczą większość z luk opisanych przez Jonathana Zdziarskiego, a podsumowują całość słowami…

O ile nie podpadłeś służbom, zapewne nie powinieneś się niczego obawiać. Jest mało prawdopodobne, aby złodziej, który pozyskał Twój telefon był w stanie uruchomić procedurę odzyskiwania z niego danych w siedzibie Apple (bo potrzebny jest prokuratorski wniosek). Bardziej prawdopodobne jest to, że złodziejowi uda się przejąć kontrolę nad serwerem MDM w twojej firmie (o ile twój telefon jest centralnie zarządzany) — wtedy wszystkie powyższe ataki mogą się powieść.

Zasada jest prosta – telefonu, samochodu ani żony się nie pożycza.

Identyfikowanie backdoorów w iOS →

21 lipca 2014 · 12:58

Jonathan Zdziarski na temat luk w bezpieczeństwie w iOSie.

Zdejmowanie Activation Lock w iOS z sumieniem →

6 lipca 2014 · 10:27

Chronicunlocks:

This will remove iCloud Lock for anyone who has a device stuck on it, whether you are locked out of your own unit (and are in a place like Saudi Arabia which has no Apple Store to present invoice), or you bought a unit second hand from a seller who didn’t remove their iCloud login from. We will NOT remove iCloud from a unit in „Lost Mode”, meaning that the login area of the „Activate iPhone” screen has a Message From The Owner place, usually asking to call the number. This is serious, we can not see this on our end (without incurring cost) but our supplier will see this and refuse to refund if you ignore this rule. We will also make sure to attempt to retrieve the number from the database and will call it with your information if you do this. Again, very serious. Email support@chronicunlocks.com if you have questions about this.

Bardzo podoba mi się ich podejście. Nie podoba mi się fakt, że ktoś tak szybko dobrał się do tego… Activation Lock zdejmują z iPhone’ów 4 lub nowszych.

Włamania do bit.ly – reset haseł i więcej konieczny →

9 maja 2014 · 10:42

Bit.ly na swoim blogu:

We have reason to believe that Bitly account credentials have been compromised. We have no indication at this time that any accounts have been accessed without permission. For our users’ protection, we have taken proactive steps to ensure the security of all accounts, including disconnecting all users’ Facebook and Twitter accounts. All users can safely reconnect these accounts at their next login.

Please take the following steps to secure your account: change your API key and OAuth token, reset your password, and reconnect your Facebook and Twitter accounts.

Podsumowując: trzeba zmienić hasło, API i OAuth oraz odłączyć i ponownie podłączyć konta Twittera i Facebooka.

Załączniki w iOS 7 nie są szyfrowane – znaleziono niegroźnego buga →

6 maja 2014 · 09:42

Rene Ritchie:

A bug has been discovered in iOS 7 that causes email attachments to not be encrypted. Before anyone panics, however, in order for an attacker to exploit the bug they’d need to a) steal your device and, b) brute force or jailbreak-bypass the passcode or password, which c) currently means iPhone 4s and later devices running iOS 7.1 or later software aren’t at risk.

Apple wie o problemie i naprawi go przez łatkę. Termin bliżej nieznany. Zanim zaczniecie pluć, że nasze dane są widoczne dla świata to przeczytajcie powyższy cytat. Dwa razy.

Podsumuję i tak: hacker musi mieć dostęp do naszego iPhone’a lub złamać nasze hasło; sprawa nie dotyczy 4S lub nowszych iPhone’ów z iOS 7.1 lub nowszym.

Malware ‚Unflod’ w Cydii dla jailbreakowców →

28 kwietnia 2014 · 12:01

Lucian Constantin:

A malware campaign of yet-to-be-determined origin is infecting jailbroken iPhones and iPads to steal Apple account credentials from SSL encrypted traffic.

Otwartość zawsze wygrywa.

1Password Watchtower – sam sprawdź czy serwer jest zabezpieczony przed Heartbleed →

18 kwietnia 2014 · 11:48

Ekipa z 1Password przygotowała stronę, na której sami sobie możecie sprawdzić czy witryna została już zabezpieczona przed Heartbleedem czy nie. Klikajcie zatem w tytułowy link i ciekawostki zostawcie poniżej w komentarzach.

LaCie informuje o wykradzeniu danych osobowych, kart kredytowych, itp. sprzed roku →

17 kwietnia 2014 · 20:52

Ian Paul:

Seagate-owned LaCie fessed up on Tuesday to a major security breach that put sensitive customer information at risk for nearly a year. The hard drive and peripheral storage maker isn’t sure what information has been compromised; however, the company says the list may include customer names, email addresses, credit card numbers, and card expiration dates.

Jeśli kupiliście cokolwiek od LaCie pomiędzy 03/2013, a 03/2014 to koniecznie zainteresujcie się tematem.

Kiedy two-factor authentication nie jest wystarczający →

12 kwietnia 2014 · 21:41

Bron Gondwana z FastMail:

An important lesson learned is that just because a provider has a checkbox labelled “2 factor authentication” in their feature list, the two factors may not be protecting everything – and they may not even realise that fact themselves. Security risks always come on the unexpected paths – the “off label” uses that you didn’t think about, and the subtle interaction of multiple features which are useful and correct in isolation.

Wyobraziłem sobie czasy, w których nie będzie dnia ani godziny, w których nie trzeba będzie zmieniać swoich haseł…

Gdzie trzeba zmienić hasła po Heartbleed

10 kwietnia 2014 · 14:33

Nie będę tłumaczył o co dokładnie chodzi z Heartbleed, bo specjaliści już to zrobili, chociażby na łamach Niebezpiecznika… Przedwczoraj jako jedni z pierwszych w Polsce zwróciliśmy uwagę na atak Heartbleed na OpenSSL. Przypomnijmy, że dzięki niemu atakujący może pozyskać dane, które znajdują … Czytaj dalej →

A teraz już możecie panikować – dziura w OpenSSL →

10 kwietnia 2014 · 14:17

Niebezpiecznik:

Jak się okazuje, w OpenSSL przez 2 lata znajdował się błąd, który mógł umożliwić pozyskanie klucza prywatnego używanego przez serwer do szyfrowania ruchu. Błąd, któremu nadano nazwę Heartbleed, znajdował się w kodzie od 2 lat i co gorsza nie będziecie w stanie sprawdzić, czy padliście jego ofiarą — atak nie pozostawia bowiem żadnych śladów na samym serwerze. Czy czeka nas wszystkich wymiana/kupno nowych certyfikatów SSL?

Zalecana jest zmiana haseł w większości popularnych serwisów.

Server EA shackowany – uwaga na phishing Waszego Apple iD →

19 marca 2014 · 20:58

Paul Mutton:

An EA Games server has been compromised by hackers and is now hosting a phishing site which targets Apple ID account holders.

Nie wiem na ile w tym raporcie prawdy, ale PZU. Raz w życiu hacker podrobił stronę na tyle dobrze, że sam mało co się nie zalogowałem tam niechcący. Jeśli korzystacie z 1Password lub podobnych rozwiązań to phishing Wam niegroźny – program nie wstawi Wam danych logowanie na niewłaściwej stronie. Pilnujcie się, szczególnie jeśli macie konto EA – utrata kontroli nad swoim Apple ID może być bardzo bolesna.

Backdoor w urządzeniach Samsunga →

13 marca 2014 · 12:28

igH na łamach Niebezpiecznika:

Paul informuje, iż trafił na ślad backdoora w kodzie programu odpowiedzialnego za wymianę informacji pomiędzy procesorem ogólnym a modemowym. Zbackdoorowane oprogramowanie jest dystrybuowane przez samego producenta (Samsunga) i pozwala na: odczytywanie, modyfikację i kasowanie plików na telefonie (także prywatnych danych użytkownika). Backdoor umożliwia też atakującemu zdalną kontrolę nad telefonem Samsung Galaxy (…)

Paul również proponuje rozwiązanie problemu:

Przestaniecie korzystać z telefonu Samsunga, zamieniając go na inny sprzęt…

Drugim jest zainstalowanie innego OSu niż ten dostarczany przez Samsunga.

Wszystko co musisz wiedzieć o bugu SSL w OS X i iOS →

25 lutego 2014 · 08:22

Dan Moren, Dan Miller i Serenity Caldwell:

SSL (Secure Sockets Layer) and Transport Layer Security are a pair of networking technologies that establish an encrypted link between your computer and servers. Though most often seen in your web browser (that’s what that little padlock icon signifies), SSL/TLS is also used in other places, such as connections with mail clients, calendar servers, and chat servers—basically, any time you want to securely exchange information over the Internet. Together, the technologies not only encrypt communications between clients and servers, but also ensure that the server you’re accessing is who it purports to be (preventing things like phishing and man-in-the-middle attacks).

Jeśli jesteście ciekawi czy luka został naprawiona to wystarczy sprawdzać tę stronę.

Brak działającego SSL w OS X i iOS od września 2012

24 lutego 2014 · 14:29

Przed paroma dniami pojawiło się niespodziewane uaktualnienie dla iOS 7, która naprawiało jeden błąd – problem z weryfikacją połączeń SSL. Został on odkryty przez firmę CrowdStrike oraz inżyniera Google. W międzyczasie okazało się również, że istnieje on od września 2012 … Czytaj dalej →

Wykradziono dane z Kickstartera

16 lutego 2014 · 13:17

Zarejestrowani użytkownicy Kickstartera powinni już byli otrzymać maila z informacjami na temat włamania…

Wykradziono nazwy użytkowników i hasła w poczcie Yahoo →

31 stycznia 2014 · 12:12

Jay Rossiter dla w imieniu Yahoo:

We identified a coordinated effort to gain unauthorized access to Yahoo Mail accounts. Upon discovery, we took immediate action to protect our users, prompting them to reset passwords on impacted accounts.

Jeśli dostaliście informację o konieczności zmiany hasła to pamiętajcie, że to hasło najprawdopodobniej zostanie złamane. Jeśli używacie takiego samego hasła gdziekolwiek indziej, to sugeruję je natychmiast zmienić.

Konto @jb również było celem hackera – tym razem się nie udało →

29 stycznia 2014 · 09:37

Hi Naoki,

Just read your story about how your Twitter username was stolen. Sadly, the story was all to familiar to me, and mine has a couple implications that are far worse. Just thought I’d share the story in case you were interested.

A będzie coraz gorzej…

via @TatsuPL