Legiobiznes.pl Kryptowaluty, Bezpieczeństwo IT, E-biznes | LegioBiznes.PL
Podobne wpisy
Biblioteka, która zapisuje login i hasło do banku i przechwytuje Wasze SMSy
Chcielibyście w aplikacji do zamawiania pizzy zapisać swój login i hasło do banku oraz umożliwić jej przechwytywanie wiadomości SMS z kodami autoryzacyjnymi wysyłanymi Wam przez bank? Brzmi niezbyt ciekawie, prawda? A dla Przelewy24 to dobry pomysł.
Serwis Przelewy24 zazwyczaj kojarzony jest jako pośrednik gwarantujący wysokie bezpieczeństwo transakcji internetowych, przy jednoczesnym zapewnieniu szybkości realizacji płatności. Rzeczywiście, proces zatwierdzania płatności w klasycznej wersji “przeglądarkowej” jest bezpieczny i nasze dane logowania nigdy nie opuszczają strony internetowej banku (zakładając oczywiście, że na komputerze nie znajduje się złośliwe oprogramowanie). Sytuacja może się jednak zmienić diametralnie, kiedy korzystamy z aplikacji napisanej przy użyciu tzw. bibliotek mobilnych Przelewy24…
Więcej przeczytasz na: https://zaufanatrzeciastrona.pl
Nowy atak na RSA/SSL – ROBOT. Umożliwia deszyfrację ruchu.
Czy warto się przejmować? Autorzy badania dotyczącego nowego ataku ROBOT, pokazali w ramach demo, podpisanie wiadomości… kluczem prywatnym Facebooka (dokładniej: chodzi o ich certyfikat HTTPS i powiązany z nim klucz prywatny):
Further we have demonstrated practical exploitation by signing a message with the private key of facebook.com’s HTTPS certificate…
Więcej przeczytasz na: https://sekurak.pl
Użytkownicy Facebooka, uważajcie na wiadomości wyłudzające hasła
Ludzka natura jest tak skonstruowana, że czasem w obliczu zagrożenia wyłącza się rozsądek a ręka sama wędruje na lewy klawisz myszki. Wiedzą o tym przestępcy i chętnie te procesy wykorzystują by wyłudzać hasła internautów.
Otrzymujemy dzisiaj zgłoszenia o nowej fali ataków na użytkowników Facebooka. Nie ma w nich niczego nowatorskiego, lecz są jak zwykle bardzo skuteczne. Niestety taka jest ludzka natura, że ataki socjotechniczne, łatwe do rozpoznania przez ekspertów w trakcie czytania artykułu, okazują się być trudne do identyfikacji dla zwykłych użytkowników w trakcie korzystania z Facebooka…
Więcej przeczytasz na: https://zaufanatrzeciastrona.pl
Google łamie zabezpieczenia Apple iOS
Pracownik Google opublikował exploita, który może być wykorzystany do odblokowania iPhone’a i Apple TV. Społeczność już pracuje nad tzw. „jailbreakiem” do urządzeń z iOS-em w wersji 11.1.2.
Haker Ian Beer pracujący dla Google przy projekcie Zero opublikował sposób na obejście zabezpieczeń w iOS-ie. Exploit polega na wykorzystaniu pamięci podręcznej do uruchomienia złośliwego kodu i przejęcia uprawnień administratora. Przyśpieszona aktualizacja 11.2 do iOS-a wprowadzona na początku grudnia przez Apple miała związek głównie z pięcioma zgłoszonymi przez pracownika Google błędami. Ian Beer wskazał też 6 błędów występujących w macOS High Sierra, które również zostały przez Apple naprawione…
Więcej przeczytasz na: http://www.chip.pl
Jak dostać nieuwierzytelnionego roota na firewallach Palo Alto? Prosto…
Właśnie załatano podatność umożliwiającą wykonanie kodu jako root przez panel administracyjny firewalli Palo Alto (PAN-OS <= 6.1.18 , PAN-OS <=7.0.18, PAN-OS <=7.1.13 , PAN-OS <=8.0.6). Niepokojący jest na pewno fakt, że załatanie tej luki zajęło około 5 miesięcy, szczególnie że eksploit nie jest specjalnie skomplikowany i wymaga wysłania raptem kilku requestów HTTP.
Wykorzystanie podatności nie wymaga uwierzytelnienia, wymaga za to zdalnego dostępu do portu na którym działa panel zarządczy urządzenia. Niby nie powinien być on dostępny w Internecie, ale Shodan wie lepiej…
Więcej przeczytasz na: https://sekurak.pl
Bardzo sprytny atak na firmę zajmującą się bezpieczeństwem
Od wielu lat analizujemy wszelkie dostępne opisy ciekawych incydentów bezpieczeństwa i rzadko coś nas zaskakuje pomysłowością po stronie atakujących. Tak jest jednak tym razem – ich pomysł naprawdę jest ciekawy.
Firmy zajmujące się zawodowo bezpieczeństwem z zawodowego obowiązku musza być bardziej wyczulone na różnego rodzaju ataki – bo i na nie są częściej narażone. Nie wszyscy przyznają się do bycia ofiarami – czasem dowiadujemy się o tym z relacji włamywaczy (jak np. w przypadku Hacking Teamu), czasem poszkodowani stają na wysokości zadania, jak chociażby Kaspersky. Tym razem swoją historią postanowiła podzielić się firma Fox-IT, świadcząca wiele profesjonalnych usług z obszaru bezpieczeństwa – w tym także analiz powłamaniowych. Opis tego, co się im przydarzyło, jest ciekawą lekturą…
Więcej przeczytasz na: https://zaufanatrzeciastrona.pl
Jak nasz Czytelnik telefon w Plusie kupił, choć nic o tym nie wiedział
Firma windykacyjna Dial Tone wysłała jednemu z naszych Czytelników wezwanie do zapłaty na ponad 5,6 tys. zł. Zleceniodawcą okazał się Polkomtel, operator sieci Plus. Jak się pewnie domyślacie, rzekomy dłużnik jego klientem nie był.
Skąd więc dług? Próbując wyjaśnić sytuację, Czytelnik skontaktował się z operatorem i ustalił, że ktoś podszył się pod niego w sklepie internetowym Plusa. Oszust kupił telefon, zresztą nie byle jaki, bo różowego Samsunga Galaxy S7 Edge. Składając zamówienie, podał dane naszego Czytelnika, a jako dokumentu potwierdzającego użył rachunku za internet. „Myślę, że operator nie sprawdza takich rachunków w żaden sposób” – komentuje poszkodowany. Gdyby sprawdzał, odkryłby od razu, że PDF został sfałszowany, ponieważ Czytelnik żadnej umowy na internet nie zawierał…
Więcej przeczytasz na: https://zaufanatrzeciastrona.pl
Nawet Apple nie wie, jak pani udało się odblokować iPhone X koleżanki
FaceID budzi bardzo dużo emocji. Nowa technologia, nowe możliwości i… poszukiwanie nowych dróg oszukania technologii. Ale tym razem nikt nie miał żadnych złych intencji — po prostu przypadkiem odblokował nie swoje urządzenie…
Dyskusje o FaceID nie ustają. Jakuba ten moduł nie przekonuje od początku, Grzegorz jest zaskoczony tym jak sprawnie to działa. Mimo że od lat iPhone pozostaje moim głównym smartfonem — nie do końca jeszcze kupuję jego najświeższą odsłonę, która — umówmy się — do tanich nie należy. Do tego chwilę po premierze nowego sprzętu — nasłuchaliśmy się już nieco o oszukiwaniu technologii…
Więcej przeczytasz na: http://antyweb.pl
Twoje dane wyciekły i ktoś obiecuje Ci raport z „darknetu”? Raczej go nie potrzebujesz
W sieci pojawiają się usługi oferujące “raporty z wycieków” (tzn. sprawdzanie, czy wasze dane nie wyciekły wraz z jakąś skompromitowaną bazą). Te strony reklamują się w spamie, najczęściej trudno określić ich dostawcę i mogą one sprzedawać dane ze źródeł publicznych jako “dane z wycieków”. Można to klasyfikować różnie, od drobnego naciągania do zwykłego oszustwa.
W ostatnim czasie podsyłaliście do naszej redakcji e-maile takie jak ten poniżej, wraz z pytaniem w rodzaju “co o tym sądzisz droga redakcjo Niebezpiecznika?”. Mail informuje o wycieku miliardów haseł i obiecuje usługę sprawdzenia, czy były wśród nich wasze dane…
Więcej przeczytasz na: https://niebezpiecznik.pl
