Hejto.pl
Dodaj post

Wpisz coś do wyszukania (minimum 2 znaki)

#security

Gruba ryba

w Cybersecurity

21piorunów

Bardzo ciekawy live na temat bezpieczeństwa otwartych sieci wifi. Nie jest to sucha teoria i gdybanie, a prezentacja pokazująca realny atak. Sporo wierszy poleceń, kali linux, trochę wirtualnych maszynek. Ciekawie i rzeczowo.

Wrzucam ponieważ kanał nie ma takiego zasięgu jak np. sekurak.

https://www.youtube.com/watch?v=GfMVPgtgkZ8

Czy publiczne sieci WiFi są bezpieczne prezentując kilka przykładowych technik ataku:

- Man-in-the-middle (MITM)

- ARP spoofing

- DNS spoofing

- SSL stripping / HTTPS downgrading

timeline:

0:00:00 Wstęp

0:01:27 Czy wszyscy używają HTTPS?

0:08:13 Warstwowy model sieci ISO/OSI

0:100:00 Enkapsulacja i dekapsulacja

0:13:45 Protokół ARP

0:15:30 Zatruwanie ARP (poisoning)

0:17:10 Tablica ARP Linux/Windows

0:19:00 Ettercap - atak MiTM i przejęcie hasła

0:28:28 Protokoły komunikacji a bezpieczeństwo

0:29:44 Zagrożenie w protokole STARTTLS

0:32:16 Ataki SSL strip

0:33:28 Plugin sslstrip w ettercap

0:36:36 HSTS - strict transport security

0:38:10 Moduł dnsspoof w ettercap

0:42:15 Certyfikat SSL dla fałszywej strony

0:44:42 Wektor ataku z fałszywą domeną i SSL

0:48:55 HSTS preloading i polskie banki

0:54:08 Podsumowanie

  

Pokaż więcej komentarzy (6)

Tytan

w Bezpieczeństwo

9piorunów

Dodatki Bitwardena do przeglądarek zostały już zaktualizowane, co pozwala na wykorzystanie bezpieczniejszego algorytmu iteracji hasła głównego. Można to zrobić logując się do ustawień konta na stronie Bitwarden i w zakładce bezpieczeństwo zmienić sposób iteracji z PBKDF2 na Argon2id. Domyślne ustawienia są optymalne w zakresie wydajność - bezpieczeństwo.

Więcej o nowej funkcji: https://www.ghacks.net/2023/02/03/bitwarden-password-manager-will-add-support-for-argon2-kdf-soon/ | https://www.ghacks.net/2023/02/20/bitwarden-password-manager-introduces-support-for-argon2-kdf-iterations/

     

Pokaż więcej komentarzy (6)

Debiutant

w Hydepark

1piorunów

Cześć koledzy i koleżanki. Piszę z pytaniem, mam w pracy problem natury security.

Mianowicie pracuję przy projekcie z braży fintech i aktualnie mamy atak hakerski. Atak polega na tym, że zakładane są nowe konta z maili (domeny temporary), po założeniu konta automatycznie wysyłany jest sms z passcodem, następnie użytkownik dwukrotnie klika na resend verification code - i dwukrotnie przychodzi do niego nowy token i na tym proces się kończy. W logach widac, że token nie jest wpisywany w pole weryfikacyjne. Tak jakby chodziło tylko o wysyłanie smsów.

Całość obsługiwana jest przez amazon przez co zwiększona liczba smsów zaczeła generować dość znaczne koszty.

Trwa to od 2 dni, stworzono już ponad 5k nowych kont i wysłano 15k smsów. Z logów wyciągneliśmy informację, że konta zakładane są z Palestyny ale równie dobrze ktoś może siedzieć za vpnem.

Jaki jest cel takiego ataku hakerskiego? Co ktoś może zyskać poprzez takie działanie? Spotkaliście się w swojej pracy z czymś podobnym?

  

GURU1piorunów

Były pracownik chce się zemścić itp

Osobistość

w Hydepark

0piorunów

Popsuł mi się system w kompie, wywala błąd przy starcie - reinstalka i po 2h gotowe. Czemu teraz tak ciężko to zrobić? Najpierw muszę zrobić reinstall systemu, potem trzeba wdrożyć to:

https://www.davd.io/securing-macos/

https://www.bejarano.io/hardening-macos/

https://yawnbox.com/blog/macOS-hardening/

https://github.com/ernw/hardening/blob/master/operating_system/osx/10.14/ERNW_Hardening_OS_X_Mojave.md

https://github.com/drduh/macOS-Security-and-Privacy-Guide

https://www.cisecurity.org/benchmark/apple_os

https://www.stigviewer.com/stig/apple_macos_12_monterey/

https://github.com/CISOfy/lynis

i robi się prawie 3-4 dni roboty żeby to wdrożyć. Zabiorę się za to za tydzień... ehh... takie katusze dla odrobiny bezpieczeństwa...

    

Gwiazdor0piorunów

Przecież 90% rzeczy się powtarza, roboty na godzinę max.

Fanatyk

w Ciekawostki

1piorunów

sie okazuje absolutnie słuszne stwierdzenie "RODO SRODO"

Losowanie i handel numerami zdaniem sądu dozwolony

https://ccnews.pl/2023/01/03/losowanie-i-handel-numerami-zdaniem-sadu-dozwolony/

Gruba ryba1piorunów

Jaki mieliście najbardziej wkurzający telefon od telemarketerów? Automaty to tam pikuś, już po jednym zdaniu wiadomo co to i won + numer na czarną listę. Jakieś czas temu zadzwonił do mnie typo ze wschodnim akcentem, że on w sprawie konta co zakładałem na jakimś serwisie do handlu krypto. Na początku mnie rozbawił, więc zdążyłem mu jeszcze powiedzieć, że niemożliwe bo mnie to całkiem nie interesuje. Wkurzył mnie dopiero jak zaczął mnie wręcz opieprzać, że nie pamiętam, a tam za konto trzeba zapłacić. Powiedziałem elo i się rozłączełem. Zanim wrzuciłem numer na czarną listę gość zdążył raz jeszcze zadzwonić, taki natrętny.

Twórca

w Technologia

16piorunów

Kiedy nawet dobry EDR nie wystarcza – case study prawie udanego ataku z polskiej firmy

Bronimy dużej firmy. Kupujemy porządnego EDR-a. Instalujemy na stacjach. EDR pracuje, wysyła alerty, gdy znajdzie coś podejrzanego. Alerty analizujemy i reagujemy na te poważne. A włamywacz przychodzi ze swoimi narzędziami i robi swoje. #technologia #security

Osobistość

w Hydepark

0piorunów

To są kurła jakieś jaja... ( ͠° ͟ʖ ͡°) Ciesz się że w tym miesiącu kupisz sobie w końcu klucz sprzętowy, ale nie, czekaj, musisz mieć DWA klucze sprzętowe aby skorzystać z dodatkowej warstwy zabezpieczeń u  , JEDEN klucz to za mało! Wydaj jeszcze 400 aby móc wdrożyć U2F inaczej pocałujta w d⁎⁎ę wójta! ( ͡° ͜ʖ ͡°)

A tak na poważnie to rozumiem że istnieje ryzyko zguby takiego klucza i wtedy kaplica, nic nie zrobisz ale jak to Apple, wie lepiej co dla Ciebie jest dobre bo Ty sam możesz nie wiedzieć. ¯\\_( ͡° ͜ʖ ͡°)_/¯

   

Sum0piorunów

Nie bylo - zle, jest - zle :grinning:

Pokaż więcej komentarzy (5)

Debiutant

w Hydepark

3piorunów

Cześć @hejto

Planujecie może wprowadzić jakieś 2FA? Wraz z rosnącą popularnością serwisu zapewne będzie coraz więcej prób przejmowania kont użytkowników.

   

Kosmonauta0piorunów

@HackYouToo Ja czyszczę ciastka i localstorage regularnie. Strony nie muszą mnie szpiegować bardziej niż to konieczne.

Sum1piorunów

2fa w postaci numeru prędzej czy później będzie z uwagi na mnogość multikont.

Pokaż więcej komentarzy (11)

Twórca

w Technologia

21piorunów

Wbił się do wewnętrznego panelu admina Google. Pomógł całkowity przypadek: awaria w dostawie prądu...

Ciekawa podatność, za którą Google wypłacił $13337. Jeśli wczytacie się w opis problemu, to w zasadzie… nie ma tam żadnego hackingu. Badacz zaczął od prób dobicia się (z poziomu Internetu) do pewnego adresu IP Googla, ale nieskutecznie. Na drodze stawał ekran logowania (Google