Dodany: 2019-08-23 07:23:58 | Ostatnio wołany: 2019-08-23 07:26:31


Każde pole w tabeli MySQL ma określony typ.
Dla varchar możemy zdefiniować maksymalną długość przechowywanego tekstu.
Ale co w przypadku, gdy użytkownik prześle dłuższy ciąg? #od0dopentestera

W przypadku konstrukcji INSERT dane zostaną automatycznie przycięte do maksymalnej długości danego pola.
To nic odkrywczego, ale mało kto wie, że standardowo baza ignoruje spacje na końcu wyrazu:

SELECT * FROM users WHERE login = "admin "

Dostaniemy takie same wyniki jak dla zapytania bez białych znaków na końcu.
Te dwie ciekawostki połączone razem mogą doprowadzić do błędu SQL Truncation.
Chociażby podczas logowania użytkowników.

Załóżmy, że maksymalna długość pola login to 10 znaków.
Podczas tworzenia nowego użytkownika najpierw sprawdzamy, czy osoba o takich danych już nie istnieje w bazie.
Jeżeli nie - tworzymy nowy rekord.

Nie możemy użyć wartości admin ze spacjami, ponieważ są one ignorowane w konstrukcji SELECT.
A taki użytkownik już istnieje. A co gdyby spróbować dłuższy rekord?
Taki, którego pierwsze 10 znaków kończy się spacjami a reszta to nieistotne dane?
Chociażby admindalszy_ciąg?
Wspomniany wyżej SELECT nie zwróci żadnego rekordu dla takiego loginu.
Podczas dodawania wpisu natomiast zostanie on przycięty do 10 znaków.

Tym samym pojawią się dwa rekordy admin - jeden z białymi znakami drugi bez.
Jeżeli teraz aplikacja sprawdza uprawnienia użytkowników na podstawie loginu - istnieje spora szansa, że również ignoruje spacje.
Możemy zatem zalogować się jako administrator używając swojego hasła.

Jak można rozwiązać ten problem?
Używać indeksu UNIQUE, który zapewnia brak duplikatów.

Interesujesz się bezpieczeństwem? Posłuchaj podcastu na Google i Apple Podcasts oraz Spotify i Anchor.
Subskrybuj kanał na YouTube
Masz pytanie na temat security? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security

Przejdź do wpisu

Dodany: 2019-08-16 05:03:12 | Ostatnio wołany: 2019-08-16 05:04:32


WordPress to najpopularniejszy system blogowy w Internecie.
Średnio już co 3 strona korzysta właśnie z niego.
Jednak przez te lata wokół tego narzędzia narosło wiele mitów.
Czy #wordpress jest bezpieczny?
O tym w dzisiejszym #od0dopentestera

Spróbujmy prześledzić liczbę podatności.
Wykorzystamy do tego celu stronę WPScan Vulnerability Database.
Ostatni znany błąd w samym silniku pochodzi z marca 2019 roku.
Jest oznaczony jako atak XSS przy użyciu komentarza.
Tylko, że aby go wykorzystać, musimy odwiedzić złośliwą witrynę będąc zalogowanymi do panelu administracyjnego naszej strony.
Atak ten opiera się więc w głównej mierze na socjotechnice.

Kolejny błąd z lutego to RCE - czyli wykonanie kodu.
Tym razem atakujący musi posiadać konto z uprawnieniami autora.
A to bardzo rzadka sytuacja. Dlaczego?
Ponieważ uprawnienia te pozwalają na publikację własnych wpisów na danej stronie.
Autor jest to więc osoba, której administrator ufa na tyle, aby dać jej możliwość dodawania nowych treści do serwisu.
Ponownie, potencjalny atakujący musi w jakiś inny sposób uzyskać dostęp do takiego konta.

Skąd zatem taka zła sława systemu?
Chodzi o rozszerzenia, czyli dodatkowe kawałki kodu, które zwiększają jego możliwości.
Przy pomocy paru kliknięć strona może stać się sklepem internetowym lub galerią zdjęć.
Tylko że dodatki te tworzone są przez niezależnych twórców i rzadko kiedy przechodzą kontrolę jakości.
Większość błędów bezpieczeństwa odnajdywanych jest właśnie tam.

Podsumowując: bezpieczeństwo strony w głównej mierze zależy od ilości i jakości rozszerzeń jakie na niej zainstalujesz.
Podczas doboru warto sugerować się ilością instalacji.
Popularne aplikacje zazwyczaj są częściej aktualizowane.
Można też sprawdzić historię błędów danego dodatku.
Fakt istnienia podatności w przeszłości niekoniecznie dyskwalifikuje dane rozszerzenie.
Dlaczego? Żadna aplikacja nie jest w 100% bezpieczna.
Ważne jest jak szybko i w jaki sposób odpowiedział na taki incydent twórca.

Opis dodatkowych metod zabezpieczeń na blogu.
Lub na YouTube.
Możesz również posłuchać jako #podcast na Google i Apple Podcasts oraz Spotify i Anchor.
Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security #webdev

Przejdź do wpisu

Dodany: 2019-08-08 05:01:27 | Ostatnio wołany: 2019-08-08 05:02:24


W serii #od0dopentestera opowiadam głównie o atakach na strony internetowe.
Ale przecież większość firm posiada swoje fizyczne biura.
Nic zatem nie stoi na przeszkodzie aby potencjalny atakujący spróbował dostać się do biurowca i zaatakować firmę właśnie tam.
Jak może wyglądać takie kontrolowanie włamanie?

Pierwsza przeszkoda to bramki kontroli dostępu.
Jak je obejść? Spróbuj skłamać, że jesteś umówiony na rozmowę kwalifikacyjną.
Możesz również przyjść o kulach albo na wózku inwalidzkim.
Podszywanie się pod listonosza albo dostawcę pizzy to kolejna metoda.

Jeżeli to się nie powiedzie należy sklonować kartę.
Sporo firm nie używa zaawansowanych zabezpieczeń a korzysta jedynie z identyfikatora takiej karty.
Ten to może być zdalnie odczytany a następnie przeniesiony na nowy plastik.
Jednym z narzędzi używanych do tego celu jest Proxmark.
W najnowszej wersji przypomina nieco większe plastikowe pudełko.

Będąc w środku sprawdzamy czy wszyscy pracownicy blokują swoje urządzenia.
Dzięki temu możemy wykonać dowolną operację na komputerze ofiary.
W tym może pomóc emulator klawiatury – chociażby RubberDucky.
Wygląda niemal identycznie jak pendrive a potrafi w ciągu paru sekund przesłać kilkaset klawiszy.

Jeżeli jednak wszystkie metody się nie powiodły, wytaczamy ciężkie działa.
Na Aliexpress kupujemy gadżety, które można ładować przy użyciu portu USB.
Wiatraczki, mini lodówki, lampki. Następnie dolutowujemy do nich wspomniane wcześniej urządzenie i przesyłamy karton na adres firmy.
Jeżeli będziemy mieli szczęście to co najmniej kilka z nich zostanie użytych.

Inna opcja to kabel USBNinja. Pozwala on na ładowanie telefonu wyglądając identycznie jak oryginał.
Używając specjalnego nadajnika możemy w odpowiednim momencie przesłać komendy i wykonać kod na komputerze, do którego został podpięty.

Więcej informacji na blogu.
Posłuchaj materiału jako podcast na Google i Apple Podcasts oraz Spotify i Anchor.
Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security

Przejdź do wpisu

Dodany: 2019-07-31 07:09:37 | Ostatnio wołany: 2019-07-31 07:11:23


Jakiś czas temu tłumaczyłem błąd CSRF, który może prowadzić do nieświadomego wykonania akcji przez zalogowanego użytkownika.
Wtedy jako rozwiązanie podałem używanie dodatkowego pola z losową wartością.
Ale czy ruch twórców przeglądarki Google Chrome może doprowadzić do końca tego rodzaju podatności?

Planowane jest bowiem ustawienie flagi SameSite=Lax dla wszystkich ciasteczek.
W wersji Strict przeglądarka nie dołączy ciasteczka do żądania, które pochodzi z innej domeny.
Jeżeli więc złośliwy formularz znajduje się na innej domenie niż atakowana strona – przeglądarka sama zadba o nasze bezpieczeństwo.

Jest jedno ale. Z punktu widzenia przeglądarki, kliknięcie w link na stronie to nic innego jako wykonanie żądania GET do innej domeny.
Jeżeli jakaś strona zawiera odnośnik do Facebooka, nawet jeżeli jesteśmy na nim zalogowani, po kliknięciu w link nasze ciasteczko nie zostanie wysłane.
Czyli witryna nie będzie wiedziała że my to my.

Stąd też dodatkowa wartość Lax, która ma rozwiązać ten problem.
Wtedy, przeglądarka dołączy ciasteczko pomimo braku zgodności domeny, jeżeli żądanie wykonane zostało przy pomocy bezpiecznej metody oraz o ile doprowadziło do zmiany adresu URL w pasku przeglądarki.
Po co ten drugi warunek?

Teoretycznie ma chronić naszą prywatność i ograniczyć liczbę ciasteczek, które śledzą użytkownika.
One to bowiem zazwyczaj przesyłane są podczas pobierania małych obrazków z różnych serwerów.
Wyświetlenie obrazka nie prowadzi jednak do zmiany adresu w pasku przeglądarki.

Przeczytaj więcej o bezpieczeństwie ciasteczek.
Lub posłuchaj jako podcast na Google i Apple Podcasts oraz Spotify i Anchor.
Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#od0dopentestera #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security

Przejdź do wpisu

Dodany: 2019-07-23 05:06:53 | Ostatnio wołany: 2019-07-23 05:07:29


Czasami aby przeprowadzić atak na użytkownika musimy przekonać go do wykonania pewnej czynności. #od0dopentestera
Tak jest w przypadku self XSS, kiedy to ofiara musi samodzielnie otworzyć konsolę deweloperską przeglądarki (w przypadku Chrome przy użyciu F12) a następnie wkleić tam kod #javascript otrzymany od atakującego.

Innym przykładem są błędy w obsługiwaniu niektórych nagłówków przesyłanych przez przeglądarkę, chociażby User-agent, czyli informacji na temat wersji programu, której aktualnie używamy.
Ten nagłówek jest doklejany do każdego żądania automatycznie i użytkownik nie może go w prosty sposób zmienić.
Czasami zdarza się, że treść tego nagłówka wyświetlana jest stronach bez odpowiedniej weryfikacji.
To może prowadzić do ataków typu XSS, kiedy to na stronie wykonywany jest nieautoryzowany kod #js.

W przeszłości błędy tego rodzaju nie były traktowane poważnie.
Aby je wykorzystać użytkownik musiał bowiem zainstalować dodatkowe rozszerzenie, które umożliwiało by mu zmianę konkretnego nagłówka.
I tu do gry wchodzi Web Cache Poisoning.
Wygenerowanie niektórych podstron jest mocnym obciążeniem dla serwera a ich treść nie zmienia się zbyt często.
Aby więc zoptymalizować wykorzystywanie zasobów korzysta się z pamięci podręcznej.
Wygenerowaną treść strony zapisuje się w pamięci i w przypadku kolejnych żądań nie trzeba ponownie wykonywać skomplikowanych zapytań do bazy danych a jedynie wyświetlić zapisaną wcześniej treść.

Serwer musi jakoś rozpoznawać czy może wykorzystać zawartość cache czy też musi wygenerować stronę na nowo.
Robi to na podstawie tak zwanych cache keys.
W najprostszym przypadku może to być treść parametrów przekazywanych przez przeglądarkę.
Jeżeli wysłano takie same parametry – wyświetlamy zawartość z pamięci podręcznej.
Jeżeli zmieniła się przynajmniej jedna wartość – musimy wygenerować stronę na nowo.

Atakujący może wykorzystać ten mechanizm do zapisania swojej wersji konkretnej podstrony.
Jak? Wysyłając żądanie z odpowiednio zmodyfikowanym nagłówkiem user-agent zawierającym odpowiedni kod JS.
Żądanie to przesyłane jest pod unikalny adres.
Dzięki temu serwer stwierdzi, że jest to nowa strona i zapisze ją w swojej pamięci razem ze zmodyfikowanym nagłówkiem.
Teraz wystarczy już tylko przekonać ofiarę do odwiedzenia tak spreparowanej podstrony.
Wtedy to serwer pobierze wcześniej zapisaną, złośliwą wersję i wyświetli ją nieświadomemu użytkownikowi.
W taki sposób możliwe jest wykorzystanie błędów, które jeszcze parę chwil temu wydawały się mało ciekawe.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Podcast dostępny na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #webdev #security

Przejdź do wpisu

Dodany: 2019-07-16 05:27:42 | Ostatnio wołany: 2019-07-16 05:29:41


Nie zawsze analizując aplikację natrafiamy na błędy typu SQL Injection bądź XSS.
Czasami odnajdujemy podatności, które na pierwszy rzut oka wydają się być mało interesujące.
Chociażby możliwość usunięcia dowolnego pliku z serwera.
Dzisiaj w #od0dopentestera o kreatywnych sposobach wykorzystania tego rodzaju błędów.

1. WordPress to popularny system blogowy.
Informacje na temat dostępu do bazy danych przechowuje on w pliku wp-config.php
W przypadku jego braku, system automatycznie uruchamia instalator.
Takie rozwiązanie jest przyjazne dla początkujących użytkowników.
Wystarczy bowiem, że skopiują wszystkie pliki na serwer i wejdą na swoją domenę.
A co gdy usuniemy ten plik?
Wtedy możemy ponownie zainstalować aplikację na tym samym serwerze.
Standardowo, baza danych i pliki znajdują się na tej samej maszynie.
Ale nic nie stoi na przeszkodzie, aby skrypt łączył się z zewnętrzną bazą, kontrolowaną przez atakującego.
Po instalacji możemy zalogować się do panelu admina używając danych nowo stworzonego użytkownika.
Administrator może edytować pliki szablonów, w których znajdują się informacje na temat wyglądu strony.
Są to zwykłe pliki z rozszerzeniem .php
A ponieważ możemy modyfikować ich treść, pozwala to na wykonanie dowolnego kodu na podatnej stronie.

2. Jenkins to serwer continuous integration.
Często działa on z włączoną opcją Enable security, dzięki której dostęp do większości funkcji możliwy jest jedynie po zalogowaniu.
Jest to istotne ponieważ aplikacja posiada konsolę skryptów, która umożliwia wykonanie dowolnego kodu w języku groovy.
Informacje na temat konfiguracji przechowywane są w pliku config.xml.
Jeżeli atakujący usunie ten plik, serwer nie będzie wymagał zalogowania czyli dowolny użytkownik będzie mógł wykonać dowolny kod przy pomocy skryptu groovy.
Serwer odczytuje plik konfiguracyjny jedynie w niektórych sytuacjach.
W większości przypadków konieczny będzie zatem restart aplikacji aby całość zadziałała prawidłowo.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Podcast dostępny na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #webdev #security

Przejdź do wpisu

Dodany: 2019-07-09 05:27:04 | Ostatnio wołany: 2019-07-09 05:28:04


Pracujesz z dużą ilością serwerów podczas swojej pracy?
Do każdego z nich logujesz się przy pomocy swojego klucza SSH?
A co w przypadku gdy do wielu serwerów dostęp powinno mieć wielu użytkowników?
Czy klucz każdego z nich należy dopisać do pliku ~/.ssh/authorized_keys?
Co w sytuacji gdy użytkownik straci kontrolę nad swoim kluczem prywatnym albo odejdzie z firmy?
Jak zarządzać taką infrastrukturą?
O tym w dzisiejszym odcinku #od0dopentestera

W SSH możemy skonfigurować opcję TrustedUserCAKeys.
Wtedy to serwer nie oczekuje podczas logowania konkretnego klucza.
Sprawdza natomiast czy podany klucz został podpisany przez klucz CA.

Dzięki temu za każdym logowaniem możemy używać nowo wygenerowanego klucza.
Wystarczy tylko aby był on podpisany.
Dodatkowo klucz ten może mieć określony czas działania.
Przez to nawet jeżeli w przyszłości dostanie się w ręce atakującego, będzie bezużyteczny.

Bezpieczeństwo rozwiązania zależy zatem od prywatności klucza CA.
Nie powinien on być więc w posiadaniu wszystkich administratorów.
Tu do gry wchodzi BLESS - Bastion's Lambda Ephemeral SSH Service.

Jest to specjalna funkcja AWS Lambda, która służy do generowania tymczasowych kluczy dostępu do naszych serwerów.
Wspiera ona AWS IAM Policy, dzięki czemu możemy ustalić kto ma do niej dostęp.
Teraz, przed zalogowaniem się poprzez SSH używamy klienta w Pythonie, który wywołuje tą funkcję z podanymi przez nas parametrami.
Ona to sprawdza czy należymy do odpowiedniej grupy i jeżeli wszystko się zgadza zwraca podpisany klucz.

Plusy rozwiązania?
Tylko główny administrator posiada dostęp do pliku z kluczem CA.
Wygenerowane klucze są tymczasowe więc ich kradzież nic nie daje.
Jeżeli pracownik odchodzi z firmy wystarczy usunąć go z jednej grupy.
W przypadku pojawienia się nowego serwera - dopisujemy tylko jedną linijkę w konfiguracji.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #biznes #security #webdev #programista15k

Przejdź do wpisu

Dodany: 2019-07-03 05:00:09 | Ostatnio wołany: 2019-07-03 05:00:58


Czy moje hasło jest bezpieczne? #od0dopentestera
A może znalazło się w jakimś wycieku danych?
Jak mogę to sprawdzić?

Pierwsza możliwość to samodzielne odnalezienie linków do baz zawierających dane z wycieków.
Następnie należy je wypakować, odpowiednio przetworzyć i spróbować odnaleźć w nich swoje hasła.
Ale nie każdy posiada odpowiednie zdolności techniczne.

Wiemy, że podawanie naszych haseł na zewnętrznych serwisach nie jest najlepszym pomysłem.
W celu zachowania bezpieczeństwa będziemy wiec korzystać z funkcji haszującej, która z dowolnego ciągu znaków tworzy inny ciąg o stałej długości.
Operacja ta jest nieodwracalna - to znaczy, ze stworzonego w taki sposób hasza nie da się otrzymać pierwotnej wartości (pomijając ataki siłowe).

Tak wygenerowany hash sha1 możemy sprawdzać w różnych bazach online.
Minusy? Nigdy nie mamy pewności jakie zamiary ma osoba udostępniająca tego rodzaju usługi.
Jeżeli hasło istnieje w bazie w postaci hasha - twórca witryny może je również posiadać w zwykłej postaci bez żadnego hashowania.
Znając naszą tożsamość może wykorzystać tą wiedzę do targetowanych ataków.

Dochodzimy więc do paradoksu.
Z jednej strony aby sprawdzić hasło musimy je jakoś przekazać do serwisu.
Z drugiej jednak strony ta czynność w odpowiednich warunkach może doprowadzić do jego wycieku.

Jak sprawę rozwiązał serwis have i been pwned?
Wykorzystując k-anonymity.

Załóżmy, że jesteśmy firmą produkującą innowacyjne leki.
Chcielibyśmy podzielić się wynikami badań w magazynach branżowych.
Nie możemy jednak podawać danych osobowych pacjentów.
Musimy je jakoś zanonimizować - czyli usunąć informacje, na podstawie których można by było zidentyfikować konkretną osobę.

Pierwszy sposób polega na ukrywaniu pewnych danych.
Wystarczy imię i nazwisko zamienić na gwiazdkę.
Drugi sposób to uogólnienie.
Zamiast podawać konkretny wiek danej osoby - podajemy zakres, a miasto zamieniamy na województwo.

Ale jak to się ma do bezpieczeństwa haseł?
Serwis lokalnie, na naszym komputerze wylicza hash sha1 a następnie pobiera z niego pierwsze 5 znaków.
Te 5 znaków wysyłane jest do serwera API, który to zwraca wszystkie rekordy, zaczynające się od tych wartości.
Przeglądarka ponownie lokalnie porównuje każdy z tych wyników z wyliczonym wcześniej hashem i jeżeli odnajdzie pasujący rekord - wie że dane hasło wyciekło.

Dzięki temu całe nasze hasło nigdy nie opuszcza naszego komputera w żadnej postaci.
5 znaków to bardzo mało.
Twórca witryny nie jest w stanie na tej podstawie stwierdzić czy nasze hasło znajduje się w bazie a może jest to zupełnie inny ciąg znaków, którego hash po prostu zaczyna się od podanej wartości.

Subskrybuj kanał na YouTube
Transkrypcja
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security

Przejdź do wpisu

Dodany: 2019-06-24 06:41:19 | Ostatnio wołany: 2019-06-24 06:42:56


Jak działa kradzież karty SIM? Co to jest SIM swap?
Dlaczego banki chcą abyśmy zrezygnowali z potwierdzania przelewów przy użyciu SMSów?
O tym dzisiaj w #od0dopentestera

Zazwyczaj sam login i hasło bankowości elektronicznej nie wystarczą aby zlecić przelew.
Bank chce mieć pewność, że to my zleciliśmy transakcję dlatego wykorzystuje idee dwuskładnikowej weryfikacji.
W przeszłości wykorzystywano do tego karty kodów jednorazowych.
W ostatnim kroku wysyłania przelewu losowano jeden z nieużytych numerów i proszono o jego przepisanie.

Minusy? Dowolny nieużyty kod mógł potwierdzić dowolną operację.
Przestępcy próbowali je wiec wyłudzać od niczego nieświadomych użytkowników.
Gdy telefony stały się popularne większość instytucji przeszła na wiadomości SMS.
Tym razem jeden kod potwierdza jedną, konkretną transakcję.
Dodatkowo zazwyczaj widać jej kwotę oraz adres odbiorcy.

Rozwiązanie idealne?
Tutaj do gry wchodzi kradzież kart SIM tak zwany atak SIM swap.
Przestępcy wyłudzają duplikat karty przy użyciu kolekcjonerskich wersji dowodów osobistych.
Wtedy to wszystkie wiadomości (w tym te od banku) trafiają na telefony złodziei.

Sytuacja taka dotyczy również kont email.
Niektóre serwisy pozwalają bowiem na reset hasła przy pomocy wiadomości tekstowej.
W taki sposób można przejąć czyjeś konto pocztowe.
Je natomiast można wykorzystać do zmiany hasła na innych portalach.
Praktycznie każda z obecnie istniejących witryn pozwala bowiem na zmianę hasła przy użyciu maila.

Najnowszym rozwiązaniem jest więc używanie mobilnych aplikacji bankowych do potwierdzania przelewów.
Aplikacja jest powiązana z telefonem a nie numerem telefonu.
Dzięki temu nawet gdy ktoś wyłudzi duplikat karty SIM, nie będzie w stanie potwierdzić zlecenia przelewu.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security #banki

Przejdź do wpisu

Dodany: 2019-06-18 05:00:19 | Ostatnio wołany: 2019-06-18 05:01:07


Jak działa BitLocker i szyfrowanie dysków? Co to jest TPM i do czego służy? #od0dopentestera

Dlaczego warto zabezpieczyć swoje dane na laptopie?
Chociażby aby w przypadku jego kradzieży nasze zdjęcia z wakacji nie dostały się w niepowołane ręce.
Ale jak to możliwe? Przecież mój komputer jest zabezpieczony hasłem, które podaję podczas logowania do systemu operacyjnego.
Mechanizm logowania a szyfrowanie to dwie różne kwestie.

Istnieją metody na uruchomienie działającego systemu operacyjnego z poziomu pendrive'a.
Wystarczy odpowiednio spreparowany nośnik podpięty do portu USB.
Komputer uruchomiony za jego pomocą nie korzysta z Windowsa zainstalowanego na naszym laptopie.
Ale taki system dalej ma dostęp do zasobów całego naszego dysku twardego.

I tu do gry wkracza szyfrowanie dysków.
W Windowsie najprościej użyć BitLockera.
Uruchomienie tego mechanizmu wymaga od nas podania hasła, które to jest wykorzystywane do zabezpieczenia naszej treści.
Im dłuższe i bardziej skomplikowane tym trudniej będzie je złamać.
Ciężko mi sobie jednak wyobrazić osobę, który byłaby zadowolona z faktu wprowadzania za każdym razem 40 znakowej kombinacji znaków.

Kolejną opcją jest użycie pendrive'a na którym to znajduje się specjalny plik z hasłem.
Jego długość sprawia, że ataki siłowe nie mają większego sensu.
Z drugiej jednak strony każdy kto posiada dostęp do tego urządzenia może w prosty sposób skopiować znajdujący się tam plik i odblokować nim nasz komputer.

Dlatego najlepszym rozwiązaniem jest użycie mechanizmu TPM.
Jest to mały układ znajdujący się w większości nowych komputerów.
Jego zadaniem jest bezpieczne przechowywanie kluczy.
Podczas uruchamiania komputera komponent ten sprawdza czy nie nastąpiła żadna zmiana w konfiguracji.
Tylko wtedy wysyła on hasło do BitLockera który to może odszyfrować dysk.

Dla użytkownika końcowego takie rozwiązanie jest praktycznie niewidoczne, wszystko dzieje się automatycznie w tle.
Ma jednak jeden minus.
Istnieją skomplikowane metody gdzie odpowiednio podpinając przewody do TPM możliwe jest podsłuchanie komunikacji z BitLockerem.
Dlatego też w celu najlepszej ochrony stosuje się dodatkowy PIN.
Wtedy to oprócz braku zmian w konfiguracji użytkownik za każdym razem musi podać swój kod, który zazwyczaj składa się z 4 do 6 cyfr.

Teoretycznie to całkiem mało i zdeterminowany atakujący mogły próbować każdą z kombinacji po kolei.
Ale na to nie pozwoli TPM - po kilku próbach zacznie wydłużać czas potrzebny na wpisywania kolejnych liczb.

Subskrybuj kanał na YouTube
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Dostępne również na Google i Apple Podcasts oraz Spotify i Anchor.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #podcast #swiat #gruparatowaniapoziomu #biznes #security

Przejdź do wpisu
Założona przez:

KacperSzurek

Osób na liście: 123
Wołań: 60
Lista tagu "od 0 do pentestera" gdzie publikuje informacje na temat szeroko pojętego bezpieczeństwa komputerowego.

Kategoria: Nauka i newsy

Ostatnie wydarzenia (zobacz wszystkie)


2019-08-24 00:28:12
@itpr dołączył do listy


2019-08-23 17:13:54
@andrzejandrzej dołączył(a) do listy


2019-08-23 13:31:13
@Komp15 dołączył do listy


2019-08-23 09:53:47
@TheZadra dołączył do listy


2019-08-23 09:51:43
@c__j dołączył do listy


2019-08-23 09:45:27
@korbuzz dołączył do listy


2019-08-23 08:56:39
@mix3d dołączył do listy


2019-08-23 07:32:47
@qwiateq dołączył do listy


2019-08-23 07:29:49
@zmudeg dołączył do listy


2019-08-23 07:26:31
@KacperSzurek zawołał do wpisu