Przerobiony kabel Lightning do iPhone'a pozwala zdalnie przejąć komputer Apple Mac

Data: 14.08.2019 16:05

Autor: ziemianin

ithardware.pl

#wiadomosci #codziennaprasowka #Apple #iPhone #cyberbezpieczenstwo #bezpieczenstwoit #haker

Specjalnie spreparowany przez hakerów kabel Lightning do iPhone'a pozwala przejąć komputer, do którego zostanie podłączony. W ramach demonstracji (szukać samemu, jest video w sieci) edukacyjnej zaprezentował go specjalista ds. cyberbezpieczeństwa, który w internecie posługuje się pseudonimem MG.

Przerobiony kabel Lightning do iPhone'a pozwala zdalnie przejąć komputer Apple Mac

Taki kabel można podrzucić albo podarować niczego nie podejrzewającej ofierze.

Komputery i smartfony Apple posiadają reputację sprzętu bezpieczniejszego nić ich odpowiedniki na Androidzie, Windowsie czy innych systemach, nie są jednak odporne na wszystko. Zwykły kabel Lightning może zostać podmieniony na spreparowaną wersję i za jej pomocą haker może uzyskać dostęp do sprzętu ofiary. Już wcześniej w tym roku pojawiały się pierwsze informacje na temat kabli O.MG, ale teraz podczas corocznej konferencji Def Con, badacz bezpieczeństwa i twórca zmodyfikowanych kabli, który znany jest jako MG, postanowił nieco przybliżyć swój wynalazek.

"To wygląda jak prawdziwy kabel i działa tak samo. Nawet komputer nie zauważy różnicy. Dopóki ja, jako atakujący, zdalnie nie przejmę kontroli nad kablem" – powiedział MG. Ponieważ odróżnienie kabla od oryginalnego produktu Apple jest prawie niemożliwe, łatwo można zamienić zmodyfikowaną wersję z wersją oryginalną, nie wzbudzając niczyich podejrzeń. Kabel może być również podarowany nieświadomej ofierze. Kabel zawiera implant, który umożliwia hakowanie. Kabel oczywiście spełnia podstawowe funkcje, ale po podłączeniu do komputera Mac hakerzy mogą uzyskać dostęp do sprzętu za pośrednictwem utworzonego hotspotu Wi-Fi. Mają także zdalny kill switch, aby ukryć swoją obecność.

Atakujący mogą znajdować się w odległości do 100 metrów od kabla i nadal móc włamać się do komputera Mac. Odległość można zwiększyć za pomocą anteny. MG powiedział również, że "kabel można skonfigurować tak, aby działał jako klient pobliskiej sieci bezprzewodowej. A jeśli ta sieć bezprzewodowa ma połączenie z internetem, odległość w zasadzie staje się nieograniczona". MG chce stworzyć kable O.MG jako legalne produkty bezpieczeństwa i mówi, że firma Hak5 jest gotowa je sprzedawać – chociaż będą tworzone od zera, a nie przerabiane na bazie kabli Apple. Klienci Def Con otrzymają wczesny dostęp do narzędzi, których cena wynosi 200 USD.

Zbiór wskazówek bezpieczeństwa OWASP podany w zwięzłej formie

Data: 04.08.2019 19:01

Autor: hellboy

cheatsheetseries.owasp.org

Seria OWASP Cheat Sheet powstała, by przekazać zwięzłą kolekcję wartościowych informacji na różne tematy związane z bezpieczeństwem aplikacji. Ściągawki zostały przygotowane przez profesjonalistów zajmujących się na co dzień tematyką bezpieczeństwa IT.

Prezentowane materiały posiadają wiele linków do zewnętrznych źródeł i dokumentacji, które, w razie zainteresowania, pozwalają zgłębić temat.

#security #bezpieczenstwoit #internet #appsec #DoS #XSS #owasp

Krytyczna dziura w VLC Media Player

Data: 23.07.2019 20:28

Autor: ziemianin

computing.co.uk

#codziennaprasowka #wiadomosci #vlc #technologia #odtwarzaczvideo #bezpieczenstwoit

Źródło: Wymagany angielski

Krytyczna dziura w VLC Media Player

Niemiecka agencja bezpieczeństwa cyfrowego CERT-Bund ostrzega o krytycznym błędzie w odtwarzaczu VLC Media Player. Luka pozwala napastnikowi na uzyskanie dostępu do komputera oraz modyfikowanie jego zawartości. Na razie nie zauważono, by prowadzone były ataki na tę dziurę, jednak z pewnością, po upublicznieniu informacji o jej istnieniu, w najbliższych dniach pojawi się szkodliwy kod ją wykorzystujący.

Dziura CVE-2019-13615 została oceniona na 9,8 w 10-stopniowej skali NIST, co oznacza, że jest to luka krytyczna. Dziura została znaleziona w wersjach dla Windows, Linuksa i Uniksa. Napastnik może ją wykorzystać m.in. do zdalnego wykonania dowolnego kodu.

Luka spowodowana błędami w obsłudze pamięci (nadczytanie bufora) została znaleziona w mkv::demux_sys_t::FreeUnused() w modules/demux/mkv/demux.cpp when called from mkv::Open in modules/demux/mkv/mkv.cpp. Występuje ona w najnowszej wersji oprogramowania, 3.0.7.1. Jego deweloperzy poinformowali, że nad łatą pracują już od miesiąca i jest ona gotowa w 60%.

W ubiegłym miesiącu opublikowano zaś największy zestaw poprawek dla VLC Media Playera. Znalazły się w nim łaty dla 33 dziur, z czego dla 2 krytycznych.

Firefox będzie miał „tryb Tor”? Prace nad rozszerzeniem rozważa administracja sieci

Data: 20.07.2019 22:22

Autor: piotre94

teamquest.pl

Na bazie Firefoksa od lat budowana jest Tor Browser – przeglądarka, która jest bodaj najwygodniejszym sposobem na przeglądanie stron w domenie .onion z wykorzystaniem trasowania cebulowego. Teraz to zespół Tora chce dać coś od siebie Firefoksowi – rozważane są prace nad rozszerzeniem, które zaoferuje „ekstraprywatny” tryb przeglądania. #internet #technologia #bezpieczenstwoit #firefox

Facebook śledzi już nawet pobierane z niego zdjęcia

Data: 14.07.2019 18:30

Autor: piotre94

dobreprogramy.pl

Facebook to jedno wielkie siedlisko telemetrii, o czym chyba nikogo uświadamiać nie trzeba. Ale jak dowodzi australijski badacz bezpieczeństwa, Edin Jusupovic, macki Zuckerberga sięgają znacznie dalej niż tylko macierzystych serwerów. Odkrycie eksperta wskazuje na to, że platforma niezwykle pieczołowicie śledzi również pobierane z niej zdjęcia. #technologia #internet #facebook #telemetria #bezpieczenstwoit

Dni które wstrząsneły Estonią

Data: 09.07.2019 11:49

Autor: ziemianin

eesti.pl

#codziennaprasowka #wiadomosci #cyberatak #bezpieczenstwoit #talin #estonia

Dni które wstrząsneły Estonią

Wiosną 2007 roku po raz pierwszy w historii doszło do zmasowanego cyberataku przeciw suwerennemu państwu. Agresja, która miała wspomóc działania prowadzone przez Rosję w “realu”, zapoczątkowała nowy wyścig zbrojeń.

Gdy estoński rząd zaczynał przygotowania do przeniesienia tzw. Brązowego Żołnierza – pomnika upamiętniającego sowieckich żołnierzy, poległych podczas „wyzwalania Tallina z rąk nazistów” (jak twierdzi Kreml) albo, jak widzą to Estończycy, podczas ponownego podbijania ich kraju przez ZSRR – spodziewano się rytualnych protestów Moskwy. Nikt nie przypuszczał, nawet w najśmielszych wyobrażeniach, jaki charakter przybierze rosyjska reakcja.


Nie udało się dowieść, że za cyberatakami na Estonię stał rosyjski rząd – jako np. ich zleceniodawca. Ale faktem jest, że wydarzenia z wiosny 2007 roku rozpoczęły zupełnie nowy wyścig zbrojeń: w cyberprzestrzeni. Bardziej niż tarcza antyrakietowa, to właśnie NATO-owski Cyber Defence Centre w Estonii jest symbolem nowej i prawdziwie futurystycznej wizji tego, jak mogą wyglądać w przyszłości konflikty – także między państwami.

Ukradli mi pieniądze z konta i co dalej? Prawo swoje a banki swoje

Data: 23.06.2019 22:08

Autor: piotre94

niebezpiecznik.pl

Jeśli dojdzie do kradzieży z konta bankowego to ukradzione środki powinny być zwrócone przez bank w ciągu jednego (!) dnia roboczego. Tak stanowi prawo, choć wciąż nie jest to powszechna wiedza. W praktyce banki omijają przepisy zarzucając klientom “niedbalstwo” lub odwrotnie — twierdząc iż staranność klienta nie miała znaczenia! Na problem zwrócił ostatnio uwagę Rzecznik Finansowy, ale my możemy podeprzeć statystyki Rzecznika kilkoma sprawami naszych Czytelników, jakie sami analizowaliśmy w ostatnich miesiącach. #internet #bezpieczenstwoit #pieniadze #banki

Google wie gdzie jesteś i gdzie byłeś. I dzieli się tym z policją

Data: 05.05.2019 18:10

Autor: Demostenes

niebezpiecznik.pl

Każdy jest śledzony, sorry.

Nosimy w kieszeni małego brata. Wszyscy. I Ci z robotami i jabłkami na telefonach.

Nasze dane są wysyłane w wiele miejsc, z których części możemy nie być świadomi. Służą do lepszego dopasowywania reklam. Ale nie ma się co dziwić, że i policja chętnie z nich korzysta. I chyba powinna, prawda?

#bezpieczenstwoit #android #polska

Barnaby Jack — mag w białym kapeluszu

Data: 15.04.2019 20:43

Autor: dobrochoczy

dobreprogramy.pl

W naszym kraju dokonania Barnaby'ego Jacka są słabo znane. Jest to o tyle dziwne, że ten Nowozelandczyk dzięki znajdowaniu poważnych wad w systemach bezpieczeństwa był jednym z najbardziej znaczących „białych” hakerów. Jego odkrycia powodowały, że miał prelekcje na najważniejszych konferencjach branży IT. Jack podczas tych występów stawał się charyzmatycznym performerem, tworzącym niezapomniane show. Te widowiskowe pokazy nie przeszły bez echa w sieci i uczyniły go prawdziwą gwiazdą YouTube'a. Niestety jego pełną sukcesów karierę przerwała nagła śmierć, która do tej pory budzi wiele niejasności. Bez zbędnych przedłużeń przedstawiam Wam życiorys hakera, który zasłynął z bycia władcą bankomatów… i ludzkiego życia.

#lurker #programowanie #bezpieczenstwoit

Wyciek danych 30 milionów Polaków. Od 2 tygodni byliśmy podsłuchiwani przez MON

Data: 01.04.2019 09:51

Autor: furgonschnitzel

niebezpiecznik.pl

"Przez ostatnie 2 tygodnie Wasze połączenia internetowe były monitorowane i logowane, a jakby tego było mało, za inwigilacją najprawdopodobniej stoi nowa formacja Wojska Polskiego."

Alipay - świeża baza z 1,3 miliardami rekordów dostępna publicznie

Data: 24.03.2019 19:31

Autor: Ralts

sekurak.pl

W dyskusji pojawia się również wątek dzielenia się przez Alipay tego typu danymi z zewnętrznymi podmiotami, co może być nielegalne nawet wg prawa Chińskiego:

Yes. They sold data to a third party which uses to calculate a credit score system to see to who they can sell more stuff on another platform.

Data: 24.03.2019 19:20

Autor: Ralts

Cześć Lurki!

W jakim języku programowania poprawnie działającym kodem jest IF THEN THEN THEN = ELSE; ELSE ELSE = THEN;? Dlaczego słowa kluczowe zazwyczaj nie mogą zostać użyte jako nazwy zmiennych? Czy współczesnie wykorzystuje się jeszcze stropping?

Odpowiedzi na te pytania znajdziecie w moim wpisie Czy słowa kluczowe muszą być zarezerwowane?

https://polydev.pl/2019/03/16/czy-slowa-kluczowe-musza-byc-zarezerwowane/

Zapraszam!

Podcast random:press #004

Data: 24.03.2019 16:39

Autor: siefca

randomseed.pl

Facebook przechowywał hasła w jawnej postaci; podatne na ataki klawiatury Fujitsu; fałszywe antywirusy na Androida; darmowa usługa VPN w Operze; luki w defibrylatorach; zbiórka na walkę z rakiem; projekty open source i zyski

Data: 20.03.2019 22:17

Autor: Raven

Pytanie dla wielu może i głupie, ale nie dla mnie :<

Czy wykupując certyfikat dla strony – przykładowo aliexpress.com muszę wykupić osobno dla www.aliexpress.com? Pytam ze względu na to, że mam już jeden klucz SSL dla domeny z Let's Encrypt, dla testu, i mogę go włączyć dla właśnie takich dwóch domen, więc pytanie, czy po zakupie SSL (zakupuję w Zenbox) też będzie działać to na takiej samej zasadzie?

Poważne problemy IBM

Data: 20.03.2019 19:58

Autor: drewniany

ibm.com

Tak patrzę na to IBM i mam wrażenie że, ta firma się stacza.

Nie dość że, jej CEO jest kobietą to jeszcze od jakiegoś czasu zaczynają agresywnie wprowadzać "równouprawnienie" promując kobiety na wysokich stanowiskach.

Dostała się na stanowisko w 2012, a już w 2015 doszło do zwolnienia 10.000 pracowników za jednym zamachem, a firmie spadły zyski.

Link

Z doświadczenia wiem że, baba która dostanie władzę będzie ustawiała innych po kątach, jednocześnie migając się od odpowiedzialności, podobnie wygląda to w przypadku "specjalistek". Na takiej politycę zachodnich firm korzysta jedynie chińska konkurencja.

W opiniach polski IBM jest mieszany z błotem przez swoich pracowników mając beznadziejną ocenę.

(komentarze pisane po Polsku)

Link

Kolejny

Pokłosiem takiej głupoty jest Rumun.

Wrocławska HR Buisness Partner, oraz inny członek zarządu oddziału wykopali wariata-geniusza z ogromnym potencjałem, teraz on wodząc za nos giganta na jego własnym polu, każe wątpić w kompetencję ich ludzi.

Wypok to małe piwko, on wysyła mnóstwo maili do IBM, innych firm oraz uczelnii, przebijając jak kartkę papieru ich filtry antyspamowe.

Gdybym miał firmę IT, chciałbym mieć kogoś takigo w swoich szeregach.

Podcast random:press #003

Data: 18.03.2019 12:42

Autor: siefca

randomseed.pl

Trzeci odcinek podcastu o bezpieczeństwie i programowaniu. Tematy: włamanie do Citriksa; skarga Spotify do KE; luka w WinRAR; przejmowanie kont na Instagramie; rapera kłopoty z serwisem YouTube; Clojure na GraalVM; odczyt kluczy z TPM.

Wyciek danych z serwisu GFYcat

Data: 24.02.2019 18:15

Autor: Acrivec

Taki oto mail dostałem, tylko że gmail uznał że dobrze go będzie w spamie umieścić.

Ostrzegam tych którzy spamu nie przeglądają. ;)

Hakerzy zaatakowali polskie witryny podczas konferencji w Warszawie

Data: 17.02.2019 15:51

Autor: piotre94

zaufanatrzeciastrona.pl

Nieznana wcześniej grupa włamywaczy podmieniła witryny czterech polskich instytucji w trakcie konferencji bliskowschodniej, odbywającej się w Warszawie. Dobór podmienionych stron, synchronizacja czasowa operacji i treść komunikatu są co najmniej ciekawe.

Chińczycy wyłączą nam internet?

Data: 12.02.2019 07:14

Autor: Harnas

klubjagiellonski.pl

W sprawie Huawei nie chodzi o chińsko-amerykańską wojnę handlową czy kradzież danych. Chodzi o to, kto może pstryknięciem palca wyłączyć nam dostęp do ulubionych gifów ze śmiesznymi kotami – redaktor portalu klubjagiellonski.pl Bartosz Paszcza wyjaśnia o co chodzi w zamieszaniu wokół chińskiej firmy Huawei.

Jak ukraść miliony z polskich firm jednym e-mailem lub listem?

Data: 10.02.2019 21:58

Autor: Kubeusz

niebezpiecznik.pl

Tuż przed weekendem RMF poinformowało o tym, że należąca do Polskiej Grupy Zbrojeniowej spółka Cenzin straciła 4 miliony złotych bo — na podstawie “fałszywego” maila od kontrahenta — pieniądze przelała na złe konto. Ta metoda kradzieży w internecie jest stara jak świat. Na niebezpiecznikowych szkoleniach dla firm przestrzegamy przed nią od ponad 9 lat! Ale niestety, tego typu ataki regularnie powracają, a straty prawie zawsze idą w co najmniej setki tysięcy złotych. W tym artykule, chciałbym więc zwrócić Wam uwagę na to jak wykryć tego typu przekręty oraz co zrobić, żeby Twoja firma nie była kolejną, która pośle miliony złodziejom…

Jak ukraść kilka milionów z polskiej firmy - przykłady udanych scenariuszy

Data: 09.02.2019 04:46

Autor: soochy

zaufanatrzeciastrona.pl

Około czterech milionów złotych straciła duża polska firma, ponieważ ktoś przysłał emaila (lub dwa). W emailu była informacja o zmianie rachunku, na który miał pójść przelew. To nie pierwszy i nie jedyny taki incydent w Polsce….

Jak przestępcy hakują Twój mózg | Adam Haertle | TEDxPolitechnikaLodzka

Data: 07.02.2019 20:39

Autor: Bing

youtube.com

Przestępcy przestali hackować komputery, systemy, przeglądarki. Teraz hackują nasze mózgi, wykorzystując zaufanie, nawyki i ludzkie odruchy. Adam Haertle, spec od bezpieczeństwa informatycznego, wieloletni pracownik UPC Polska, twórca zaufanatrzeciastrona.pl, która notuje miliony odsłon rocznie.

Haker odpowiedzialny za włamanie na Morele.net rozdaje pieniądze streamerom

Data: 07.02.2019 11:52

Autor: NjeMjetek

niebezpiecznik.pl

Pieniądze pochodzące prawdopodbnie ze sprzedaży bazy danych dostali między innymi TheNitroZyniakak, PiranhaSawa czy Taku. Artykuł przedstawia historię pana Marcina, który zaniepokojony sms'ami i telefonem postanowił napisać do redakcji Niebezpiecznika.

(Tag BezpieczenstwoIT chyba pasuje tu najbardziej)

Data: 06.02.2019 21:46

Autor: Falcon

Siema, ostatnio pytałem się was o opinię na temat wyszukiwarki z kaczką w logo i przeczytałem, że ddg nie jest wcale takie prywatne. Ktoś rozwinie temat? Testuje startpage.com, ale jakoś mi nie leży, pewnie przez brak !bangów.

BHP pracy przy kompie i ewentualne radzenie sobie z problemami

Data: 05.02.2019 13:18

Autor: exekutor

steemit.com

Temat jak zwykle aktualny gdyż sporo osób nie zwraca uwagi na podstawowe zasady. Co prawda pisałem to juz jakiś czas temu ale artykuł jest nadal przydatny więc się dzielę.

Ile kosztowałyby straty gospodarcze spowodowane cyberatakiem na światową skalę?

Data: 04.02.2019 04:17

Autor: soochy

businessinsider.com.pl

Cyberatak na światową skalę, skoordynowany i z użyciem złośliwych wiadomości e-mail, może spowodować straty gospodarcze w wysokości nawet 193 mld dol. To szacunki ekspertów ds. analizy ryzyka z firm ubezpieczeniowych Aon i Lloyd's of London.