Autor

Wszystkie

Archiwum

KacperSzurek
KacperSzurek
  • 368
Dlaczego do dekodera wkładamy kartę? Jak w przeszłości łamano zabezpieczenia telewizji satelitarnej? Krótka historia zabezpieczeń. #od0dopentestera
* System Videocrypt szyfrował obraz za pomocą techniki cięcia i obrotu. Wyobraź sobie, że prawidłowa linia obrazu jest reprezentowana przez liczbę 0123456789. Zaszyfrowany obraz przedstawiano jako 4567890123. I tak z każdą linią. Specjalne urządzenie (unscrambler) było w stanie odtworzyć prawidłowy obraz.
* W przeszłości sygnał nie był szyfrowany. Żądanie opłaty za dostęp do telewizji nie spotkało
KacperSzurek - Dlaczego do dekodera wkładamy kartę? Jak w przeszłości łamano zabezpie...
Podstarzaly_Mandalorianin
Podstarzaly_Mandalorianin
  • 47
@KacperSzurek: na warszawskim Wolumenie spotykała się spora grupa krakerow takich kart, głównie entuzjastów telewizji satelitarnej, ale tez pracownikow naukowych pewnej warszawskiej uczelnii ktorych zwyczajnie kręciło wyzwanie stawiane od strony elektrotechnicznej+kącik hakera w sat kurierze (dla tych nieborakow którzy nie mieli dostępu do netu). Eeech to były czasy ( ͡° ͜ʖ ͡°)
KacperSzurek
KacperSzurek
  • 779
OPSEC - bezpieczeństwo informacyjne jest bardzo często rozumiane jako ochrona informacji przed przypadkowym lub świadomym ujawnieniem. Jakie zasady stosować na co dzień? #od0dopentestera
* Nie publikuj zdjęć karty pokładowej w mediach społecznościowych. Na podstawie danych z fotografii można zmienić miejsce w samolocie, podglądnąć dane pasażera a czasem nawet odwołać lot.
* Używasz funkcji autoresponder? Dzięki niej inni (także potencjalni przestępcy) wiedzą, że nie ma Cię teraz w pracy.
azurro
azurro
  • 38
@KacperSzurek: Z tymi naklejkami na samochodach to już popłynąłeś. Nie wiem po kiego wuja ktoś je przykleja, ale żaden złodziej nie wyciąga wnisków z naklejki.
Złodzieje są nastawieni na konkretne modele, więc obserwują konkretne domy. A w sumie to nawet zbytnio nie obserwują, bo po co. Podchodzisz, otwierasz, odjeżdżasz. Albo czekasz aż ktoś zaśnie, albo bierzesz spod pracy, sklepu. Idziesz na godzinne zakupy w markecie, przez godzine ktoś zdąrzy ten samochód
KacperSzurek
KacperSzurek
  • 188
Jak przestępcy próbują nas oszukać? Przykłady realnych ataków i manipulacji: #od0dopentestera
* Tworzą fałszywe konkursy, które są reklamowane przez znane osoby (bez ich zgody).
* Podszywają się pod pracowników banku i proszą o hasła do kont.
* Wysyłają wiadomości SMS z nieprawdziwą informacją od komornika lub kuriera.
* Generują domeny podobne do oficjalnych adresów różnych instytucji.
* Tworzą rejestry, które przypominają z nazwy państwowe spisy.
*
KacperSzurek - Jak przestępcy próbują nas oszukać? Przykłady realnych ataków i manipu...
KacperSzurek
KacperSzurek
  • 667
Interesujesz się bezpieczeństwem? A słyszałeś o tych pojęciach? #od0dopentestera
Public Suffix – strony na tej liście nie mogą ustawiać ciasteczek w przeglądarce
Tabnabbingpodmiana zawartości zakładki, z której nastąpiło kliknięcie na inną stronę
CSS Keylogger – przy pomocy stylów można odczytać treść danych z formularza
Gotcha – jak wykorzystać mechanizmy Captchy w atakach phishingowych
X-HTTP-Method-Override – przy pomocy nagłówka można zmienić metodę GET na
KacperSzurek - Interesujesz się bezpieczeństwem? A słyszałeś o tych pojęciach? #od0do...
KacperSzurek
KacperSzurek
  • 10
Jakie zabezpieczenia ma dowód osobisty? Jak wygląda paszport w świetle UV?⠀
Możesz to łatwo sprawdzić w Rejestrze Dokumentów Publicznych.

Więcej ciekawostek na moim Instagramie i YouTube.

Jeżeli chcesz być wołany do podobnych materiałów - zaplusuj pierwszy komentarz.

#od0dopentestera #bezpieczenstwo #polska #technologia #informatyka
KacperSzurek - Jakie zabezpieczenia ma dowód osobisty? Jak wygląda paszport w świetle...

źródło: comment_1608627873mUWZ5Svhiy5qJXDJpZ0Zrr.jpg

Pobierz
KacperSzurek
KacperSzurek
  • 111
Wiesz, że Google Grafika pozwala na wyszukiwanie twarzy? #od0dopentestera
Ta funkcja jest ukryta. Znajdziesz ją w ustawieniach zaawansowanych w opcji typ obrazu: twarz.

* Podobną funkcję ma też Yandex
* Microsoft Face Verification (zakładka Face verification) pomaga ustalić, czy na dwóch różnych zdjęciach znajduje się ta sama osoba
* Swojej twarzy możesz poszukać w PimEyes
* Face-Depixelizer próbuje odtworzyć rozmazane zdjęcia twarzy
* A jeżeli używasz
KacperSzurek - Wiesz, że Google Grafika pozwala na wyszukiwanie twarzy? #od0dopentest...

źródło: comment_1608282381nzljILXxDmtZWrh9yBLlZj.jpg

Pobierz
KacperSzurek
KacperSzurek
  • 172
Wiesz co to YubiKey i jak go używać? #od0dopentestera
Standardowe kody 2FA nie chronią przed phishingiem.
Dlaczego? Jeśli wygenerowany w telefonie kod przekażesz atakującemu, który zna Twój login i hasło do serwisu – będzie mógł się do niego zalogować jako TY.
Dużo lepszym rozwiązaniem jest U2F.
Brzmi skomplikowanie? A korzystanie z takiego klucza jest banalnie proste.
Logujesz się do serwisu, wkładasz klucz do portu USB, dotykasz guzik i już
KacperSzurek - Wiesz co to YubiKey i jak go używać? #od0dopentestera Standardowe kod...
A.....i
A.....i
  • 17
Dlaczego? Jeśli wygenerowany w telefonie kod przekażesz atakującemu, który zna Twój login i hasło do serwisu – będzie mógł się do niego zalogować jako TY.

Jak komukolwiek przekazujesz kod 2FA, kto na dodatek zna twój login i hasło, to jesteś albo debilem, albo chcesz żeby się zalogował na twoje konto...

"PANI REDAKTUR, DAŁEM KLUCZE TEMU PANU KTÓRY ZNA MÓJ ADRES I WZIĄŁ I MI UKRAD ŻECZY Z DOMU"
KacperSzurek
KacperSzurek
  • 39
SQL Injection pozwala na wykonanie zapytania do bazy danych - ale jest ono inne niż to, które napisał programista. #od0dopentestera
Zamiast wyświetlać faktury tylko dla swojego konta - możemy zobaczyć dane innych klientów.
Popatrzmy na przykład:

SELECT * FROM faktury WHERE id = 123
Przy pomocy takiego zapytania pobierasz fakturę o identyfikatorze 123.
123 to dane podane przez użytkownika - na przykład poprzez formularz.
Jeżeli programista wkleja te dane bezpośrednio do
KacperSzurek - SQL Injection pozwala na wykonanie zapytania do bazy danych - ale jest...
KacperSzurek
KacperSzurek
  • 25
Słyszałeś o Content Security Policy? W prostych słowach to: „ostatnia linia obrony przed atakami XSS”.
Informujemy przeglądarkę jakie zasoby może wyświetlić.
Jednak prawidłowe skonfigurowanie CSP nie jest takie proste:
Unikaj unsafe-inline
Podczas ładowania skryptów skorzystaj z nonce-losowa_wartość
Jeżeli używasz eventów onlick spróbuj je przepisać na addEventListener('click', function(){});
Zezwalasz na pliki JS z serwera CDN? Uważaj na obejścia przy pomocy endpointów JSONP
Możesz kontrolować nie tylko
KacperSzurek - Słyszałeś o Content Security Policy? W prostych słowach to: „ostatnia ...
KacperSzurek
KacperSzurek
  • 61
Jakie informacje można znaleźć w Internecie? #od0dopentestera
* Sprawozdania finansowe spółek
* Dane o działkach
* Listę reklam wyświetlanych przez firmy na Facebooku
* Zdjęcia twarzy typ obrazu: twarz
* Numery telefonów
* Dane dotyczące cen nieruchomości określonych w aktach notarialnych
* Jakie urządzenia emitują fale radiowe
* Listę dotacji UE
* Czy osoba korzystająca z konkretnego emaila posiada konto na LinkedIn
* Oświadczenia majątkowe niektórych osób pełniących funkcje publiczne

Zbiór innych,
KacperSzurek - Jakie informacje można znaleźć w Internecie? #od0dopentestera * Spraw...
KacperSzurek
KacperSzurek
  • 457
Metadane to dane o danych. Najprościej wytłumaczyć to na przykładach. #od0dopentestera
Dzwoniłeś na numer 0 700. Nie wiadomo o czym rozmawiałeś. Ale można się tego domyślić.
* Na podstawie popularności tras w serwisie dla biegaczy można było odgadnąć lokalizację tajnych baz wojskowych.
* Jeżeli przeglądasz obrazki w eksploratorze, Windows automatycznie tworzy ich miniaturki i zapisuje je w plikach thumbcache. Nawet jeżeli usuniesz plik z dysku – można
KacperSzurek - Metadane to dane o danych. Najprościej wytłumaczyć to na przykładach. ...
angor86
angor86
  • 28
@KacperSzurek: tak już uściślając:

Dzwoniłeś na numer 0 700. Nie wiadomo o czym rozmawiałeś. Ale można się tego domyślić.


"metadaną" tutaj jest informacja, że 0 700 to numer płatny. Natomiast reszta przykładu średnio trafiona bo te numery są jednak zróżnicowane.

* Na podstawie popularności tras w serwisie dla biegaczy można było odgadnąć lokalizację tajnych baz wojskowych.


To nie są metadane a analiza danych.

* Jeżeli przeglądasz obrazki w eksploratorze, Windows automatycznie
KacperSzurek
KacperSzurek
  • 102
Korzystasz z przeglądarki Chrome? Zauważyłeś, że od czasu do czasu Twój komputer próbuje się łączyć z dziwnymi domenami?
Domeny te składają się z samych liter i są różnej długości – od 7 do 15 znaków?
Obawiasz się, że na Twoim komputerze znajduje się złośliwe oprogramowanie?
Mam dobrą wiadomość. Nic się nie dzieje, to standardowe zachowanie przeglądarki.
Ale dlaczego wykonuje ona takie dziwne operacje? #od0dopentestera

Omnibox to pasek, w którym możemy podać dokładny
KacperSzurek - Korzystasz z przeglądarki Chrome? Zauważyłeś, że od czasu do czasu Twó...
KacperSzurek
KacperSzurek
  • 121
Na świecie istnieje kilkanaście osób, które posiadają „klucz do Internetu”. #od0dopentestera
I nie chodzi tu o żadne fizyczne klucze, a o dostęp do klucza prywatnego używanego w DNSSEC.
Całość jest przechowywana w specjalnym urządzeniu HSM.
Chodzi o to, aby nikt nie mógł bezpośrednio skopiować tego klucza.
Raz na kilkanaście miesięcy kilka osób z całego świata spotyka się na specjalnej ceremonii – w jednym z dwóch fizycznie oddalonych od siebie
KacperSzurek - Na świecie istnieje kilkanaście osób, które posiadają „klucz do Intern...
KacperSzurek
KacperSzurek
  • 77
Jak dawni szpiedzy transportowali duże ilości tajnych dokumentów bez obaw o wykrycie? #od0dopentestera
Używali mikrokropek. Mikrokropka to miniaturowa fotografia o średnicy 1 mm wykonana przez specjalne urządzenie będące połączeniem aparatu i mikroskopu.
Taki mikropunkt możesz zrobić sam w domu. Potrzebujesz analogowego aparatu, kliszy, kawałka kartonu, nożyczek oraz cierpliwości.
Skorzystamy z metody Brytyjskiej.
1. Zapisaną kartkę A4 kładziemy na podłodze. Następnie wykonujemy kilka zdjęć próbując objąć cały tekst w wizjerze.
KacperSzurek - Jak dawni szpiedzy transportowali duże ilości tajnych dokumentów bez o...
KacperSzurek
KacperSzurek
  • 35
Jak wygląda atakowanie serwerów w praktyce? #od0dopentestera
Hack The Box to witryna na której twórcy udostępniają specjalnie przygotowane serwery, które posiadają błędy bezpieczeństwa.
Naszym zadaniem jest ich odnalezienie i wykorzystanie w celu przejęcia kontroli nad maszyną.
Takie „zagadki” pozwalają na przećwiczenie wiedzy w praktyce.

W tym odcinku dowiesz się między innymi, że:
1. Nagłówek X-forwarded-for jest używany przez serwery proxy, ale w specyficznych okolicznościach może pozwolić na nieautoryzowany dostęp do panelu administracyjnego.
KacperSzurek - Jak wygląda atakowanie serwerów w praktyce? #od0dopentestera Hack The...
KacperSzurek
KacperSzurek
  • 110
Jak to się dzieje, że sklepy proponują nam to – czego kilka dni temu szukaliśmy w Internecie?
Wykorzystuje się do tego mechanizm browser fingerprinting. #od0dopentestera
Sporo osób myśli, że aby stać się niewidzialnym wystarczy uruchomić tryb prywatny.
Ale to nie do końca prawda. Mechanizm ten sprawia, że przeglądarka nie przechowuje historii oraz ciasteczek.
Ale istnieją inne, mniej znane mechanizmy mogące rozpoznać użytkownika i jego komputer.
Co można zrobić z tym
KacperSzurek - Jak to się dzieje, że sklepy proponują nam to – czego kilka dni temu s...
Finsky
Finsky
  • 6
@KacperSzurek: wpis bardzo ciekawy, natomiast ja jestem o wiele bardziej ciekaw jak to jest, że social media i przeglądarki potrafią mi proponować reklamy na podstawie czego NIE wyszukiwałem w internecie xD tj. np sytuacja w której byłem z mamą w sklepie meblarskim pomóc jej wybrać nową kanapę, pobuszowaliśmy trochę, skupiliśmy się na jednej, parę dni później gdy wróciłem już na swoje śmieci dostaję propozycję dokładnie tej samej kanapy którą widziałem w
KacperSzurek
KacperSzurek
  • 172
Ktoś ukradł Ci dowód. Co robić? #od0dopentestera
* Zgłoś utratę swojego dowodu przez Internet. Nie musisz tego robić jeżeli zgłosiłeś kradzież na policji.
* Dodaj wpis do systemu Dokumenty Zastrzeżone – zrobisz to w swoim banku.
* Sprawdź w jakich bankach posiadasz konta przy pomocy Centralnej informacji o rachunkach. Jeśli przestępca założył konto na Twoje dane – będziesz o tym wiedział.
* Załóż konto w systemie E-sąd. Jeżeli
KacperSzurek - Ktoś ukradł Ci dowód. Co robić? #od0dopentestera * Zgłoś utratę swoje...
dsctom
dsctom
  • 1
@KacperSzurek: kolo mnie tak w #!$%@? zrobił - co się okazało najsłabszym ogniwem? bank, który kompletnie na odwal pozwolil zalozyc konto a potem juz przelewem autoryzacyjnym ziomek brał chwilóki jedna po drugiej. teraz dostaje wiadomosci z prokuratury ze wysylaja slupa na badania psychiatryczne :)
KacperSzurek
KacperSzurek
  • 2
@kaczoor: niestety nie ma jednej, wspólnej bazy.
Inne firmy pożyczkowe mogą korzystać z BIK a inne z Bezpieczny PESEL a jeszcze inne z Chroń PESEL.
Więc teoretycznie im w większej ilości firm zastrzeżesz swoje dane – tym lepiej.
Problemem jest tylko procedura zastrzegania.
Bezpieczny PESEL dla przykładu wymaga przesłania skanu dowodu (z zamazanymi niektórymi danymi).
Pytanie czy to dla Ciebie OK.

Powiązane tagi