akerro
g/Security

http://www.openssl.org/news/secadv_20140605.txt 7 bugów w openssl poprawiono, niektóre dość poważne z opisu

#
zskk
g/Security

jakby kogos ciekawilo. darmowe szkolonko z standardu pci dss: https://information.rapid7.com/5-steps-to-perform-pci-gap-analysis.html

#
akerro
g/Security

@zskk wytłumaczy tutaj dlaczego TC nigdy nie powinien być uważany za bezpieczny i nie powinno się mu ufać jak masz CP na kompie.

#
Show remaining entries (24 replies)
grzegorz_brzeczyszczykiewicz

@zskk: Plotkujecie jak stare baby na bazarze, a jesli powodem usuniecia softu byly naciski na tworcow bo jest on flaweless? W takim wypadku tez nie nalezy mu ufac? Nie masz gwarancji ze inne projekty rowniez te open-source nie sa podatne, badz zlosliwe. Niewielu jest takich ktorzy potrafia wlasciwie zautydowac tego typu kod i nie masz gwarancji ze robia to przy kazdej wersji. OpenSSL i jego heatbleed czekal 2 lata, i przez dwa lata rzesze specow tego nie zdiagnozowaly, a ludzie zainteresowani wiedzieli :]

#
akerro

@grzegorz_brzeczyszczykiewicz:

OpenSSL i jego heatbleed czekal 2 lata, i przez dwa lata rzesze specow tego nie zdiagnozowaly

kod nie został wpuszczony do openSUSE, Fedory ani REDHAT przez podejrzenia, że zawiera dużą ilość błędów. te same dystrybucje nie mają w repo TC.

#
grzegorz_brzeczyszczykiewicz
g/Security

Nikt nawet nie wrzucil info o akcjach z TC, stromoid stronk ;]

#
Show remaining entries (2 replies)
Zian

@grzegorz_brzeczyszczykiewicz: Tylko popraw adres, bo kieruje do komentarza.

#
grzegorz_brzeczyszczykiewicz

@Zian: teraz powinno byc dobrze :]

#
Poduszkowiec_pelen_wegorzy
g/Security

Obraz, ktory zaszyfrowany wyglada tak samo jak przed szyfrowaniem:
https://i.imgur.com/WRxFKdq.png
openssl aes-128-cbc -K "55555555555555555555555555555555" -iv "83deccd3f93b37c70d37297f319cf367" -in WRxFKdq.png -out OMG_SAME_IMAGE.png

#
Jezor

Link do jutuba z obrazka, jakby komuś się nie chciało przepisywać, a chciałby obejrzeć :)

#
akerro
g/Security

https://www.youtube.com/watch?v=rLiJ-XB-Jc0&feature=youtube_gdata

W jaki sposób skan palca + PESEL lub data urodzenia jest bezpieczniejsze niż karta z chipem i PIN? Tylko strata czasu bo wpisanie PESEL jest dłuższe niż PIN.

#
Show remaining entries (6 replies)
akerro

@Miljarter: nie wiem, dopiero się o tym dowiedziałem, palec pewnie ten sam w każdym banku dla każdej karty, zależnie jak to działa.

#
Miljarter

@akerro: Wiem, wiem, nie traktuje Cie jako eksperta, tylko tak się zastanawiam.
Pewnie w bankomacie pojawi się lista kont bankowych

#
borysses
g/Security

Da sie zrobic sql injection do systemu monitorujacego ruch po obiekcie uzywajacego kart z rfid?

#
Writer

@borysses: http://www.darkreading.com/risk/new-rfid-attack-opens-the-door/d/d-id/1128684

http://www.rfidvirus.org/middleware.html

#
borysses

@Writer: Nie żebym potrzebował, ale zwiększyła się liczba bramek i już mogą zacząć zauważać, że zawsze się spóźniam od 10 do 30 minut i wychodzę przed czasem... Przerwy na fajkę itp (tak znowu pale, jestem pozbawioną silnej woli i moralnego kręgosłupa cipą, która zdechnie na raka ;__;)

#
jkl
g/Security

Jakies kodowane p2p rozmowy na winde polecicie? Komunikator w sensie.. na windowsa.

#
Show remaining entries (26 replies)
Poduszkowiec_pelen_wegorzy

@jkl: Instalacja tego jest prosta, nie wiem czemu jesteś oporny, toż to kilka kliknięć. A jak nie, to pozostaje Tox w wersji beta.

#
jkl

@Poduszkowiec_pelen_wegorzy: Oporny jestem, bo juz pogadalem wczoraj te 5 minut i mi nie potrzebne wiecej.

#
akerro
g/Security

https://github.com/search?q=exec%28%24_GET&type=Code

#
Show remaining entries (6 replies)
akerro

@zskk: jedna gówniana stronka w internecie mniej...
admin.php?_g=documents&action=edit&doc_id=1?name=;rm%20~%20-fr%20;

a tutaj jeszcze lepsze

#
borysses

@akerro:

void wyszukaj()

{

cout << "DAJ MIE KURWA WYRAZA" << endl;

cin >> s;

for (int i=0; i<n; i++)

#
szarak
g/Security

http://istruecryptauditedyet.com/

przy okazji dyskusji stąd dodaję ciekawą stronkę podsumowującą postęp audytu truecrypta :)

#
Show remaining entries (14 replies)
akerro

@szarak: jak ja na nie patrzę to myślę... ktoś nie chciał, żebym to czytał.

#
gethiox

@akerro: Co do SSL na ircu - jasne, że w przypadku gdy jeden z użytkowników nie ma nawiązanego połączenia SSL to przesyłane i odbierane przez niego dane nie sa szyfrowane (cała komunikacja na jego kanałach), ale chyba nadal nie jesteśmy w stanie podsłuchać klientów połączonych poprzez SSL na poziomie ich transferu danych? Czy mam rozumieć, że w magiczny sposób jego nie SSLowa sesja niweluje moje szyfrowane połączenie? Z tego co się orientuję strukturą IRCa są centralne serwery - od cepa bez SSL do serwera leci plain-text, od serwera do mnie leci encrypted® enigma™ cryptology© algoritm³² connection∞.

#
akerro
g/Security

https://strimoid.pl/c/PXo9qZ/hackowanie-sieci-wifi-z-tabletu-eng

akurat mam ten sam tablet i tą samą kartę sieciową w Raspberry Pi, wypróbuję sobie to :)

#
grzegorz_brzeczyszczykiewicz
g/Security

http://tvn24bis.pl/informacje,187/pierwsze-aresztowanie-zwiazane-z-heartbleed-to-19-letni-kanadyjski-haker,419382.html Poczatek niby dobry

Heartbleed to błąd w protokole OpenSSL,

A pozniej...

Już w piątek służby informatyczne CRA stwierdziły, że wirus Hearbleed zaatakował bazę danych agencji.

WAT? Typowy przyklad braku umiejetnosci pisania ze zrozumieniem.

#
Show remaining entries (1 reply)
akerro

@borysses:

nie znam się, więc się wypowiem.

#
borysses

@akerro: Czyli jak 99% "redaktorow".

#
akerro
g/Security

"Hackers" of Reddit, what are some cool/scary things about our technology that aren't necessarily public knowledge?

#
akerro

Do poczytania na wieczór

#
akerro
g/Security

Cała treść jest bardzo dobra i pouczająca, polecam.

#
akerro
g/Security

wlasnie zauwazylem ze debian stable nie jest podatny na heartbeelda, ponieważ wersja openssl jest tak stara, że nie zawiera jeszcze tego zabugowanego kodu:

OpenSSL 0.9.8o 01 Jun 2010

#
Show remaining entries (3 replies)
luki

@akerro: chyba oldstable, aktualny był podatny.

#
akerro

@luki: squeeze, mam go na darmowym vps z 128mb ram.

#
wysuszony
g/Security

Czy mega.co.nz jest dość bezpieczne by używać go do przechowywania automatycznego backupu ze smartfona?

#
Show remaining entries (4 replies)
Writer

@wysuszony: Ale jak zaszyfrujesz sam przed wysłaniem, to masz pewność, że będzie bezpieczne. Tylko potem trzeba się bawić w odszyfrowanie.

#
wysuszony

@Writer: Tylko że to już nie będzie zautomatyzowany proces o którym nie muszę pamiętać :<.

#
akerro
g/Security

https://strimoid.pl/c/TomWIS - wieczorem będzie na niebezpieczniku ;)

#
Show remaining entries (7 replies)
borysses

@akerro: Jeszcze zacznij do mnie mówić per Kaczuszko...

#
zskk

@akerro: @borysses: panie, panowie... zapisane: http://i.imgur.com/zZ5HaLL.png

#
akerro
g/Security

jakie macie u siebie wyniki z Extended test? http://www.dnsleaktest.com/

#
Show remaining entries (41 replies)
zskk

@akerro: ja zdaje sobie z tego sprawe. dlatego jestem na to uczulony. 3/4 rozwiązan produkcyjnych ktore widze gdzies to spierdoliny robione na sline i taśmę

#
akerro

@zskk: ale nadal są miliony ludzi, którzy uważają że sieć komórkowa to najwspanialsze osiągniecie techniki... a to jedynie śmierdzące gówno ubrane w garnitur.

#
Zian
g/Security

Intel zamyka w styczniu 2015 roku Anti-Theft będący częścią ichniego systemu vPro na płytach głównych. Rozwiązanie zamknięte, na abonament i jest się zdanym na pośredników. Podobnie ComputraceOne w BIOS-ie z płatną subskrypcją.

Istnieje coś poza nimi, czego trudno się pozbyć? Taki backdoor, który samemu się kontroluje i nikt nie ma klucza poza tobą samym.

@akerro

#
Show remaining entries (6 replies)
akerro

@Zian: prey jest opensoruce. jak masz linuxa to jakoś się dało na niektórych dyskach włączyć opcję, ktora nie pozwoli sformatować dysku

#
Zian

@akerro: Prey jest, ale nie ma dedykowanego otwartego sprzętu. Ciekawa sprawa z tą blokadą formatowania; teraz nie mogę, ale później się przeniosę i posprawdzam.

#
akerro
g/Security

Encrypt Your Stuff With Blowfish

#
MoonAteTheDark
g/Security

jaki darmowy keylogger, który wychwyci hasło wpisane na moim kompie będzie najlepszy? Mam nadzieję że do dobrego strimu dodaję

#
Show remaining entries (7 replies)
MoonAteTheDark

@borysses: no trudno, przeżyję jakoś bez :<

#
lamaro

@MoonAteTheDark: najprościej i najpewniej - postaw sobie jakiegoś xamppa, zmodyfikuj plik w hosts tak by przesyłał dane z formularza przez Twój localhost, a po jego stronie zapisz dane.

#
ToshioSM
g/Security

@akerro @Writer: Usunąłem ten duplikat.

#
borysses
g/Security

Ehhh, wyspy stoją prowizorką. Nie udalo sie zlokalizowac gdzie sie panoszy skrypt (ktory dziala z uprawnieniami roota bo moze zapisywac i modyfikowac pliki) i rzezbi po formularzach. Dlatego dalej dwa servery mailowe stoja wylaczone i nie dziala zamawianie katalogow, subskrypcji i membershipow. Na szczescie geniusze wpadli na rozwiazanie!!! Captcha. Captcha kurwa jako rozwiazanie problemu. Przynajmniej sie spam nie bedzie rozsylal... Taaaa, genialne. Z pewnoscia pomoze zwlaszcza ze problem jest od strony infrastruktury a nie front endu XD No, ale dzisiaj piateczek wiec nic sensownego nikomu sie nawet nie chce wymyslac.

Zokalizowalem tego skrypciocha i sposob w jaki sie dostal a nawet wiem co bylo nie tak w zabezpieczeniach, ale im nie powiem bo w sumie to nie powinienem miec dostepu do tej czesci sieci i tych serwerow  ale kurwa, co to ja mam niby byc gorszy niz jakich zolty script kiddie?

Jak sie okazuje nie powinno umieszczac sie na serwerze plikow pdf z czasow Acrobata3D, ktore sa interaktywne i po otwarciu pobieraja zewnetrzny skrypt, który w czasie rzeczywistym rysuje obiekty a przy okazji pobiera dotakowe pliki i zapisuje w innych folderach. No, ale nie zapisywalby gdyby apacz nie mial pelnych praw odczytu/zapisu. A dalej podazajac za problemem zauwazylem, ze configi od formularzy w asp. z innego serwera z haslami i userami nie powinny byc w osobnym katalogu config (777) w postaci zwyklego plain tekstu.

A haslo admina z innej czesci infrastruktury (pozostalosc po starym systemie) powinno zostac zmienione po tym jak zolci sobie skopiowali (w sumie dostali czy tam wykupili) serwer razem z zasobami i configiem.

W sumie nie wiem kto za to wszystko beknie jak juz dojda w czym problem bo okazuje sie jest tu nader dluga tradycja administracyjnej niekompetencji XD

#
Show remaining entries (1 reply)
borysses

@jebiemnieto: Cytujac klasyka to ja tu widze niezly burdel :)

#
jebiemnieto

@borysses: Niestety, ale wszczędzie jest motzny burdel :/ Nawet u mnie w pracy. Nie da się wszystkiego opanowacz qq

#
borysses
g/Security

Hmmm, ciekawe. Chińczyki nas hakierujo.

#
Show remaining entries (7 replies)
borysses

@Writer: To była Trinity ;____;

#
Writer

@borysses: Biedna Trinity, na emeryturze dorabia sobie spamowaniem.

#
akerro
g/Security

http://www.idownloadblog.com/2014/02/24/ssl-bug-fuels-nsa-theories/

hehehe niezły timing NSA

#
akerro

u/akerro informuje o takich sprawach przed z3s i niebezpiecznikiem!

#