Kategoria: Bezpieczeństwo

Teraz w Revolut wirtualna karta ze zmiennym numerem bezpłatna dla wszystkich, w tym również użytkowników planu standardowego

Z konta i kart Revolut korzystam głównie do płatności w obcej walucie (i gdy nie potrzebuję faktury VAT), bo choć banki stopniowo jakby redukują spread (różnica pomiędzy kursem sprzedaży a kursem kupna, np. waluty), to nadal przy większych płatnościach różnice potrafią być odczuwalne. Zwłaszcza w bardziej „egzotycznych” walutach, takich jak np. korona duńska (DKK). Ale po znajomych widzę, że często korzystają z kart typu Revolut nawet to płatności w złotówkach, głównie by podnieść bezpieczeństwo przy płatnościach internetowych. I choć moim zdaniem tutaj w większości chargeback wystarczy, to na pewno takie działanie nie zaszkodzi. Teraz – m.in. z powodu koronawirusa (SARS-CoV-2/Covid-19) – Revolut umożliwia aktywację wirtualnych kart ze zmiennym numerem.

Gdy nie można połączyć się (po SSH) z serwerem a wszystko wygląda OK, zostaje reset ustawień iptables (i UFW)

O poranku w moim telefonie pojawiła się wiadomość od znajomego, który stracił łączność po SSH/SCP ze swoim serwerem. Z jego słów wynikało, że nic ostatnio nie zmieniał, choć w weekend próbował przeprowadzić aktualizację, ale ten proces mógł nie do końca się udać, bo były straszne problemy z komunikacją z VPSem, co chwilę zrywało połączenie. No cóż – brak dostępu do serwera VPS po SSH to poważna sprawa, więc odłożyłem to, co planowałem, i ruszyłem z pomocą. Zwłaszcza że to oznaczało potencjalny pomysł na nowy artykuł (nawet jeśli mi ich nie brakuje, w przeciwieństwie do wolnego czasu).

Informacja o wyłączenie usługi Saldo Orange z bonusem od Bm.pl, czyli 177 adresów e-mail (prawdopodobnych) użytkowników usługi w załączniku

Wycieki adresów e-mail wynikające z nieużywania pola UDW/BCC przy wysyłaniu wiadomości e-mail do wielu adresatów, choć cały czas się zdarzają, to mam wrażenie, że coraz rzadziej. I tak przedwczoraj w mojej skrzynce wylądował e-mail od Bm.pl (robot finansowy), gdzie oprócz mojego adresu e-mail jest jeszcze 176 adresów e-mail innych osób. Z tym że w tym przypadku „bonusowe” adresy e-mail nie znalazły się w miejscu dla odbiorców, a w… załączniku.

Aplikacja Kwarantanna domowa, czyli (potencjalna) alternatywa dla regularnych wizyt policji dla osób objętych kwarantanną w związku z koronawirusem (SARS-CoV-2/Covid-19)

Liczba osób poddanych kwarantannie z powodu koronawirusa (SARS-CoV-2/Covid-19) systematycznie rośnie, i pewnie jeszcze długo będzie rosnąć. A już tak z nami jest, że bez „pasterza” czuwającego nad nami mamy duże skłonności do „wolnościowych zrywów”. I tak jest w przypadku – przynajmniej cześci – osób objętych kwarantanną, które zamiast siedzieć w domu dla dobra nas wszystkich, wychodzą na zakupy „po piwko”, czy na „małe pogaduszki” z koleżankami… Stąd m.in. regularne kontrole policji, czy aby na pewno osoba poddana kwarantannie przebywa tam, gdzie przebywać powinna. Ale im więcej osób w kwarantannie, tym więcej roboty z nadzorem „wczasowiczów” ma policja. I tak dochodzimy do aplikacji Kwarantanna domowa, która ma m.in. w tym pomóc.

Mam nadzieję, że „lista ostrzeżeń przed niebezpiecznymi stronami” będzie skutecznym młotem na oszukańcze strony nie tylko w czasie epidemii koronawirusa

Choć na pewno nie można powiedzieć, że pandemia koronowirusa (SARS-CoV-2/Covid-19) jest czymś dobrym, to przy tej okazji zdarzają się też małe jakby cuda. Okazało się, że nie tylko lekcje (częściowo) można prowadzić zdalnie. Nie tylko można bez wychodzenia z domu załatwić sprawę w urzędzie czy odbyć konsultację u lekarza (wraz z otrzymaniem e-recepty czy e-zwolnienia). Nawet sejm będzie mógł pracować i głosować zdalnie (choć to się jeszcze okaże, bo korytowirus cały czas chyba groźny). Ale okazało się również, że można było powołać lista ostrzeżeń przed niebezpiecznymi stronami, która w dodoatu – jak się wydaje – ma szansę faktycznie działać.

SMS z linkiem do Twoja Enea, czyli próba wyłudzenia danych logowania do bankowości internetowej na fałszywe opóźnienie w płatności

W ostatni piątek, już w godzinach weekendowych (06.03.2020, po godzinie 16) trafiłem na ciekawy przekręt związany z powszechną metodą „na dopłatę”. Tym razem celem byli potencjalni kliencie Enea (potencjalni, bo coś czuję, że dla powodzenia tego przekrętu akurat to nie miało wielkiego znaczenia ;-P). Procedura klasyczna – SMS z informacją o konieczności dopłaty zazwyczaj jakiejś niewielkiej kwoty i link. I to właśnie ten link sprawił, że uznałem, że wprawdzie artykułu nie będę od razu pisał (weekend ;-)), to przynajmniej zabezpieczę materiały na potrzeby artykułu w późniejszym terminie…

Zagrożenia wynikające z pomyłki w domenie adresu e-mail na przykładzie wiadomości Urzędu Miasta St. Warszawy, Biura Bezpieczeństwa i Zarządzania Kryzysowego w sprawie koronawirusa

Do kolegi, od którego zaczął się temat o tym, jak to Urząd Miasta St. Warszawy, Biuro Bezpieczeństwa i Zarządzania Kryzysowego rozesłało pismo z literówką w adresie e-mail do zgłaszania „osób do nadzoru” (koronawirus) dostałem kolejną informację. Tym razem opisał mi rozmowę z koleżanką, która (współ)odpowiadała za przygotowanie informacji, o których mowa w piśmie (tym z literówką w adresie e-mail). Koleżanka (i jej koleżanki) rozumiała, że „faktycznie może to być problem”, choć głównie w kontekście ochrony danych osobowych i RODO. Może ma rację, może nie… Ale moim zdaniem to w tym przypadku akurat kwestie wycieku danych osobowych (imię i nazwisko, adres, numer telefonu, miejsce pracy, ryzyko zarażenia koronawirusem) to powinno być najmniejsze zmartwienie. Przynajmniej gdyby domena dostała się w niepowołane ręce…

Usługa powiadomień o (nowych) podatnościach WPScan Vulnerability Email Alerts (tylko) z płatną subskrypcją

Wprawdzie serwis WPScan Vulnerability Database przewinął się na łamach Webisndier.pl „tylko” kilka razy, to jest to chyba jedyny serwis, na którego „newslettery” zawsze patrzę. Może dlatego, że zazwyczaj są to informacje o podatnościach w WordPressie, czy też wtyczkach i motywach do niego. I choć każdy takie e-mail potencjalnie może oznaczać, że na którejś ze stron, które mam pod opieką jest jakaś podatność, to zdecydowanie wolę to wiedzieć, zanim dowiedzą się ci, co nie powinni…

Urząd Miasta St. Warszawy, Biuro Bezpieczeństwa i Zarządzania Kryzysowego rozesłało pismo z literówką w adresie e-mail do zgłaszania „osób do nadzoru” (koronawirus)

Nie da się ukryć, że choć zagrożenie koronawirusem SARS-CoV-2 jest realne i nie ma co go bagatelizować, bo to tylko kwestia czasu gdy oficjalnie pojawi się również w Polsce, to na razie jest to temat gorący głównie medialnie. Cieszy, że kolejne instytucje państwowe podejmują działania, które mają nas przygotować na to, co nadchodzi. Trochę mniej cieszy, że popełniają przy tym takie błędy, jak choćby Urząd Miasta Stołecznego Warszawy, Biuro Bezpieczeństwa i Zarządzania Kryzysowego w piśmie rozesłanym do dyrektorów biur, dyrektorów szkół, przedszkoli, żłobków, instytucji kultury i sportu, szpitali, prezesów spółek miejskich i burmistrzów dzielnic…

Zabezpieczanie plików i katalogów przed modyfikacją w systemie Linux za pomocą polecenia chattr (change attribute)

Dzisiaj na kilku stronach działających na WordPressie wdrażaliśmy pewną wtyczkę. Niby nic nadzwyczajnego, ale wtyczka ta nie pochodzi(ła) z np. z repozytorium WordPress.org, a bezpośrednio z serwisu GitHub. Tym samym jej aktualizację trzeba było oprzeć nie o standardowe mechanizmy aktualizacji WordPressa, ale o mechanizmy Gita. A, że strony te działały na jednym serwerze, to, zamiast multiplikować kod wtyczki (i tym samym procedurę aktualizacji) postanowiłem skorzystać z linków symbolicznych.

Pobieranie (płatnych) wtyczek i motywów do WordPressa z „nieoficjalnych stron” (nie tylko) w kontekście bezpieczeństwa

Kilka dni temu, podczas rozmowy ze znajomymi pojawił się temat płatnych motywów i wtyczek do WordPressa, które – w pewnym uproszczeniu – często „muszą” być wydawane na licencji jak WordPress, czyli GPL. Ma to takie znaczenie, że teoretycznie tak zakupiony produkt (wtyczka, motyw) może być dalej legalnie dystrybuowany. Korzystają z tego (trochę, bo często tam i tak nikt licencjami się nie przejmuje) różne serwisy, z których można pobrać bezpłatnie płatne wersje motywów i wtyczek. Ale jak to w życiu bywa – na koniec dnia każdy biznes musi (na czymś) zarabiać, również ten „piracki”.

Dostałem SMS od Virgin Mobile, ale zamiast życzeń dowiedziałem się, że ktoś uzyskał nieuprawniony dostęp do moich danych

Skoro Święta, to nie może zabraknąć prezentów. I najwidoczniej wie o tym również Virgin Mobile, bo właśnie dostałem od nich SMSa o tym, że ktoś nieuprawniony „za ich pośrednictwem” dostał w łapki moje dane…

Passive Origin Monitoring i Standalone Health Checks, czyli monitorowanie działania stron i usług w CloudFlare

W ostatnim czasie ekipa z CloudFlare nie próżnuje, i właściwie co kilka dni pojawia się jakaś nowość. Powiedzmy, że jest tego na tyle dużo, że nie jestem w stanie opisywać każdej nowości, bo jednak jakieś życie poza pisaniem na Webisnider.pl mam (ale myślę nad jakąś zbiorczą aktualizacją podstawowego artykułu na temat CloudFlare, tak by zebrać tam wszystkie nowości/zmiany). Wśród tych nowości/zmian są takie, gdzie od razu wiem, że nie ma co czekać „aż może kiedyś”, tylko warto od razu poświęcić czas i przygotować artykuł. Tak właśnie jest w przypadku tu opisywanej zmiany. A właściwie zmian…

Strona ZTM w nowej odsłonie, do tego portal Warszawski Transport Publiczny na WordPressie, czyli kolejna medialna gównoburza

Wczoraj po internecie rozlała się informacja o tym, że Warszawski Transport Publiczny (strona WTP przejęła przy okazji część „zadań” od strony ZTM, która także się zmieniła) ma nową stronę. To akurat zapewne dostrzegł (prawie) każdy, kto w ostatnich dniach chciał choćby sprawdzić rozkład. No ładne to to nie jest, ale to nie wygląd czy nawet (okrojenie) funkcjonalności stoi za tym „rozgłosem” (a być może szkoda). Media – a za nimi niestety niektórzy politycy – podchwycili temat od absurdalnej strony, pokazując – moim zdaniem – swoją totalną niewiedzę w temacie, jak i to, że nieprzypadkowo mówi się, że dziennikarzy już właściwie nie ma, bo zastąpili ich pracownicy mediów…

Nienapisane 2019.11.27: Flan Scan od CloudFlare, Google Site Kit dla WordPressa, Kali Linux 2019.4, TIDAL na 120 dni za 0,99 zł, Steam Controller za 22 zł

Kilka dni temu pisałem o tym, że w ramach „rozgrzewania newslettera” wystartowaliśmy z nową serią wiadomości, w której będą się pojawiały w dość mocno skondensowanej formule informacje na tematy, które wprawdzie uznaliśmy za ważne, ale z różnych przyczyn nie powstaną z nich artykuły (np. niewielka objętość informacji, a lanie wody „pod wyszukiwarki” to nie nasza bajka). W komentarzach dostałem pytanie, czy tego typu informacje będą pojawiać się również na stronie, jako „zbiorczy artykuł”. Odpowiedziałem, że nie, raczej nie będą i tak jest/będzie. Z małymi wyjątkami od czasu do czasu. I taki wyjątek będzie też dziś.

Na Twitterze pojawiła się opcja aktywacji dwuskładnikowego uwierzytelnienie (2FA) z wykorzystaniem aplikacji uwierzytelniającej

Choć zapewne nie jestem modelowym użytkownikiem mediów społecznościowych (w ogóle nie rozumiem, po co używać np. Facebooka w celach prywatnych, niezwiązanych z biznesową promocją) to najbliżej mi chyba do Twittera. Tak, tam też trafiają się zdjęcia kotków, czy relacje z kolejnego posiłku, ale mam wrażenie, że jest tego mniej. Jednak tego typu elementy zdecydowanie lepiej „żrą” na Facebooku czy Instagramie. Twitter, bo po odpowiedniej „konfiguracji źródeł” jest to relatywnie dobre źródło informacji o tym, co się dzieje na świecie. I choć konto na Twitterze nie jest czymś, co teoretycznie powinienem specjalnie chronić, to jednak w ramach ogólnej polityki bezpieczeństwa uważam, że warto chronić nawet mniej istotne punkty, bo mogą one być punktem wyjścia do dalszego ataku…

Pracownik uczelni SGGW stracił laptopa z „danymi osobowymi przetwarzanymi w trakcie postępowań rekrutacyjnych”

Od kilku dni internet rozgrzewa informacja o kradzieży komputera jednego z pracowników SGGW (Szkoła Główna Gospodarstwa Wiejskiego), na którym znajdowały się „dane osobowe przetwarzane w trakcie postępowań rekrutacyjnych w ostatnich latach na studia w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie”. Temat jest poważny nie tylko ze względu na bardzo szeroki zakres potencjalnie danych, jakie potencjalnie mogą dostać się w niepowołane ręce. Jest poważny również dlatego, że pokazuje pewnego rodzaju patologię, jeśli chodzi o przetwarzanie danych, i to nawet w takich instytucjach jak SGGW, i to w momencie, gdy RODO obowiązuje od kilku już lat. Zwłaszcza że dyskusje, które wejściu w życie RODO towarzyszy raczej każdemu powinny uświadomić, co to są dane osobowe i na czym powinna polegać ich ochrona.

Jest już WordPress 5.3 Kirk (i WooCommerce 3.8), a wraz z nim weryfikacja adresu e-mail administratora

Wczoraj miała miejsce premiera najnowszej odsłony WordPressa (5.3 Kirk) oraz WooCommerce (3.8). Zastanawiałem się, czy o tym pisać, ale uznałem, że raczej nie ma takiej potrzeby. Mamy nowy motyw domyślny (Twenty Twenty), wsparcie dla nadchodzącego PHP 7.4, a większość poprawek „dla cywili” sprowadza się do usprawnień w Guntenbergu, którego sam nie używam. Ale w WordPressie 5.3 pojawiła się też jedna opcja, która, choć moim zdaniem potrzebna, to – jak już widzę po reakcjach niektórych znajomych i klientów – może wywoływać lekkie zamieszanie/zdziwienie…