Tag: ochrona
Wszystkie
Najnowsze
Faktura 2018.10.30, czyli atak na użytkowników Profilu Zaufanego za pomocą e-maili nakłaniających do instalacji złośliwego oprogramowania
Za nami kolejna fala ataków, tym razem e-maile ze złośliwym załącznikiem (do pobrania), „zachęcającą” do „weryfikację Profilu Zaufanego”. Niedawno mieliśmy podobne akcje, z tym, że tam „bohaterem” był ZUS, czyli Zakład Ubezpieczeń Społecznych. Sam takiej wiadomości nie dostałem na żadne konto (chyba pora na nowe SPAM-trapy), ale dostałem e-mail z ostrzeżeniem wprost od administracji Profilu Zaufanego.
Aplikacja Signal Desktop (Windows i Mac) z jawnym hasłem do zaszyfrowanej lokalnej bazy danych (SQLite)
Z racji tego, że korzystam z komunikatora Signal, kolega – który też z niego korzysta – podesłał mi link do artykułu, w którym opisana jest pewna „podatność” w desktopowej (Windows i Mac) komunikatora, która pozwala na relatywnie łatwe odczytanie zaszyfrowanej bazy danych, w której znajdują się m.in. odebrane i wysłane wiadomości. Nie zdziwiło mnie to, gdyż… sam jakiś czas temu, szukając pewnej informacji postanowiłem dobrać się do pliku SQLite wykorzystywanego przez aplikację Signal, i nie było to trudne…
Ochrona przed oprogramowaniem wymuszającym okup w Windows Defender Security Center
To, że ostatnio jakby ciszej o programach szyfrujących dane użytkownika i żądających okupy nie znaczy, że tego typu zagrożenia mamy już za sobą. Za duża i za łatwa to kasa, by przestępcy mieli z niej tak łatwo zrezygnować. A cisza wynika bardziej z tego, że po kilku ostatnio nagłośnionych kampaniach tego typu chyba trochę się już nam ten temat znudził. Przynajmniej tym, na których nie trafiło… Ostatnio przeglądając ustawienia zabezpieczeń systemu Windows 10 trafiłem na pewne rozwiązanie, które może pomóc obronić się przed tego typu atakiem.
Enumeracja nazw użytkowników w WordPressie oraz archiwum użytkownika, czyli zmieniamy… pseudonim użytkownika
WordPress jak każdy popularny system narażony jest na ataki. Część ataków opiera się na lukach czy to w samym WordPressie (relatywnie rzadko), część we wtyczkach i motywach, w których znaleziono jakąś podatność. Ale pewnie największa część ataków – nie licząc SPAMu w komentarzach, który zapewne dominuje – dotyczy bezpośredniego logowania do panelu zarządzania stroną, po uprzednim odkryciu loginu i hasła, co często nie jest specjalnie trudno (admin:admin ;-)).
CloudFlare Stream, czyli CloudFlare wkracza na rynek profesjonalnego hostingu materiałów wideo
W połowie czerwca napisałem artykuł o tym, że jeśli ktoś szuka hostingu dla płatnych materiałów wideo zdecydowanie lepiej sprawdzi się płatna oferta Vimeo niż np. serwis YouTube. Jednak podmiotów świadczących tego typu usługi (hosting wideo) cały czas przybywa, bo i rynek cały czas rośnie, cały czas się rozwija, i wymaga coraz więcej. Niedawno do tego grona dołączył serwis CloudFlare, ze swoją usługą Stream…
WordPress File Delete to Code Execution, czyli kasowanie właściwie dowolnych plików poprzez ingerencję w standardowy proces usuwania multimediów
Dziś, na blogu RIPS Technologies pojawił się opis dość ciekawej podatności w WordPressie, która pozwala skasować właściwie dowolne pliki WordPressa (i ew serwera, jeśli procesor PHP ma do nich tego typu dostęp) użytkownikom, którzy mogą zarządzać plikami multimedialnymi (upload i kasowanie plików).
Konfiguracja serwera VPS z Debian 9 jako serwer WWW, z wykorzystaniem niestandardowych źródeł pakietów
Przedwczoraj z HitMe.pl dotarła do mnie informacja, że matka serwera VPS na którym działa(ł) WebInsider.pl powoli zmierza na emeryturę (choć może dostanie pewnie jakieś zajęcie, by się nie nudziła ;-)), w związku z tym dostałem propozycję nowego serwera VPS. Oprócz tego, że oznacza to więcej mocy (więcej RAMu, więcej CPU, i dysk SSD do tego) to również przy tej okazji zmienił się typ wirtualizacji – z XEN na KVM. W związku z tym uznałem, że choć mógłbym spróbować dokonać migracji za pomocą SSH i Rsync, to postanowiłem, że skonfiguruję środowisko (web) serwera ręcznie, przy okazji robiąc notatki do nowej wersji artykułu na ten temat…
Przeglądarka wyświetla „niebezpieczna strona”? Najwyższy czas wdrożyć certyfikat SSL (HTTPS) na stronie internetowej
Od jakichś 2 dni mój czytnik RSS bombardują kolejne artykuły o ty, że z wyszukiwarki (obrazów) Google zniknął bezpośredni przycisk (odnośnik) do zdjęcia, co jest zapewne następstwem ugody zawartej z Getty Images. Osobiście temat uznałem niespecjalnie istotny – chyba, ze ogólnie w kontekście praw autorskich, i pewnych „patologii”, które co jakiś czas dają o sobie znać (nie mówię/piszę, że tak jest w tym przypadku). Dziś natomiast właściwie z każdej strony dowiaduję się, że… w mobilnej wersji Chrome pojawi(ł) się wbudowany i automatyczny skracacz (upraszczacz) linków. Choć nie lekceważę tego – głównie z punktu widzenia marketingu, to jednak nie będę odnosił się do tego w poniedziałek na konferencji prasowej… ;-)
Dla mnie ważniejsze wydaje się to, że coraz bardziej zaciska się „przeglądarkowa pętla na szyi” osób, które z jakichś przyczyn cały czas nie wdrożyły na swoich stronach szyfrowanego połączenia HTTPS/SSL.
Larger Storage Bike Tools Boxes Repair Tools, czyli idealny futerał na mikrofon RODE VideoMic Go i… szklankę od piwa
Do nagrywania dźwięku oprócz mikrofonów krawatowych od dawna korzystam jeszcze m.in. z mikrofonu kierunkowego RODE VideoMic Go, który bardzo lubię – dobry dźwięk i brak baterii, których stan naładowania trzeba pilnować. Z tym mikrofonem miałem tylko jeden problem – transport. Konstrukcja może nie jest specjalnie delikatna, ale jednak mamy tu relatywnie delikatną „kołyskę”, która ma niwelować ewentualne dźwięki przechodzące do mikrofony np. wprost ze statywu.
WordPress i CVE-2018-6389, czyli prosty sposób na atak DoS (Denial-of-Service, czyli odmowa dostępu) na Twoją stronę
Już miałem zamykać, wszystkich w redakcji puścić do domu, by mogli ten wieczór spędzić z rodzinami, a tu niespodzianka – na liście ostrzeżeń pojawiła się informacja o nowej podatności na WordPressa. Na szczęście relatywnie niegroźnej, bo nie ma tu raczej mowy o jakimś włamaniu, czy wykradaniu danych. Po prostu, gdy komuś podpadliście, to może on spróbować troszkę poddusić Wasz serwer, aż jedyne co będzie można wyświetlić w przeglądarce, to błędy dostępności serwera/strony (5xx, np. 502, 503, 504 czy 522 od CloudFlare).
Parametry „noopener”, „noreferrer” i „nofollow” w linkach na stronach internetowych
Ostatnio stworzyłem dla znajomego pewną wtyczkę do WordPressa, która w momencie wystąpienia pewnych, z góry określonych warunków dokonywała automatycznej modyfikacji linków znajdujących się na stronie (konkretnie w artykule/wpisie), według ustalonych założeń. Przy tej okazji kolega zauważył, że w niektórych linkach pojawia się parametr „noopener”. Zresztą nie tylko on (parametr, nie kolega).
Instalacja certyfikatu SSL w Home.pl na przykładzie usługi Business Cloud Starter i certyfikatu homeSSL
Kilka dni temu napisałem artykuł o moim pożegnaniu z hostingiem współdzielonym. Wspomniałem w nim, że wprawdzie swoich kont tego typu już nie mam, to jednak niektórzy moi klienci z takich usług korzystają, a tym samym cały czas jeszcze mam z nimi styczność. Jedną z takich usług jest Business Cloud Starter w Home.pl, gdzie ostatnio konfigurowałem certyfikat(y) SSL. Oczywiście kupione w Home.pl, a więc pierwszy rok praktycznie darmo, później jak za złoto…
Julio Casal (4iQ) trafił na bazę 1,4 miliarda loginów i haseł zapisanych jawnym tekstem (+ ataki m.in. na WordPressa)
Na początku grudnia Julio Casal z firmy 4iQ opublikował artykuł o natrafieniu na bazę zawierającą ponad 1,4 miliarda par „login i hasło” zapisanych jawnych tekstem. Oczywiście jest to znaczące odkrycie/wydarzenie, ale w świetle choćby tylko ostatnich „wpadek tego typu” sprawia wrażenie na tyle powszechnego zjawiska, że nawet nie zamierzałem o tym pisać.
Zdanie zmieniłem, bo nie dość, że mamy tu hasła zapisane w jawnym tekście, to jeszcze temat podchwyciły „serwisy horyzontalne”, które oczywiście nie szczędziły alarmistycznych nagłówków. I o ile problem faktycznie istnieje, to dla przeciętnego użytkownika internetu większym zagrożeniem mogą się okazać serwisy, które korzystając z tej okazji oferują „sprawdzenie, czy nasze dane nie wyciekły”.
Google Public DNS, Quad9 i OpenDNS, czyli alternatywa dla DNSów od dostawcy internetu (ISP)
Serwery DNS może nie są czymś, bez czego internet nie mógłby działać, ale na pewno nie działałby w znanej nam formie, gdzie choćby z ulubionych stron korzystamy wpisując ich adres do przeglądarki w formie mniej lub bardziej prostej/łatwiej do zapamiętania domeny, niż korzystając bezpośrednio z adresu IP (w stylu aaa.bbb.ccc.ddd). Podobnie sprawa ma się z pocztą e-mail, gdzie dobry adres jest chyba jeszcze ważniejszy… I choć jest to bardzo ważny element internetu, to tak naprawdę nie wiele osób korzystających na co dzień z internetu zdaje sobie w ogóle sprawę, że bez DNSów ich dzień nie wyglądałby zapewne tak samo… ;-)
Jeśli ostatnio pobierałeś CCleaner i CCleaner Cloud (Windows x86) sprawdź, czy nie „załapałeś się” na złośliwy bonus
Afera – bo chyba tak to można nazwać – z aplikacją CCleaner, służącą do „oczyszczania systemu operacyjnego” (nie, nie jest to ani antywirus, ani aplikacja zabezpieczająca/usuwająca złośliwe oprogramowanie) pojawiła się ostatnio kilkukrotnie w moich rozmowach ze znajomymi, choć od upublicznienia całego zdarzenia nie minęło wiele czasu. Obrazuje to mi popularność tej aplikacji, nie tylko wśród moich znajomych, o czym świadczą choćby dane związane z pobraniami – ponoć aplikacja została pobrana/ściągnięta ponad 2 miliardy razy. Nieźle, zwłaszcza jak na oprogramowanie, które wg mnie jest totalnie niepotrzebne/zbyteczne…
Pozwól sobie pomóc, czyli informacje alarmowe (ICE) w Androidzie
Od kilku dni na moim podstawowym (i nieźle już wysłużonym) telefonie gości LineageOS, a wraz z nim Android w najnowszej wersji, czyli 7.1 (Nougat). W tej wersji nowości jest oczywiście sporo, ale na jedną chciałbym zwrócić szczególną uwagę, zwłaszcza, że może kiedyś pomóc uratować ona Wasze życie…
Cloak & Dagger, rysowanie nad innymi aplikacjami w Androidzie jako potencjalne zagrożenie bezpieczeństwa
Wczoraj wieczorem trafiłem na opis/przykład ciekawego ataku na urządzenia z systemem Android, przy wykorzystaniu m.in. opcji „rysowania na powierzchni”, czyli możliwości nakładania przez jedn aplikację swoich elementów na okno innej aplikacji (nie tylko pulpitu).
Znajdź moje urządzenie od Google, czyli Menedżer urządzeń Android w lekko zmienionej odsłonie
W sierpniu 2013 pisałem o Menedżerze urządzeń Android, czyli prostej platformie pozwalającej odzyskać telefon w sytuacji, gdyby się z(a)gubił lub został ukradziony. Lata lecą, wersje Androida też, i kilka dni temu, przy okazji konferencji Google I/O zaprezentowano odświeżoną wersję usługi…
The Wolf (HP Studios, Christian Slater), czyli reklama, którą obejrzałem z przyjemnością
Rzadko, naprawdę rzadko zdarza mi się poświęcać swój wolny czas na bezpłatne (i bezinteresowne) promowanie reklamy jakiejś komercyjnej usługi czy produktu. Ale muszę przyznać, że reklama „The Wolf” z Christianem Slaterem jest na tyle dobrze zrobiona (i zagrana), że chciałbym więcej takich „komercyjnych przerywników” oglądać w TV czy w kinie.
Nie instaluj brakujących fontów (np. HoeflerText) na stronach internetowych – to podpucha
Gdy się zastanawiałem, czy dobrze zrobiłem odrzucając pomysł napisania czegoś o telefonie Nokia 3110 edycja 2017 (coś czuję, że może to być hit sprzedaży wśród „skarpetogłowych hipsterów”, a i pewnie temat ma szansę wygenerować sporo dodatkowego ruchu na stronie ;-)) napisał do mnie kolega, że na jednej ze stron które odwiedzał trafiła mu się ciekawa próba infekcji – brakujący font (czcionka ;-)) na stronie internetowej…
InfoWidget
Najnowsze wpisy
Pracownicze Programy Emerytalne (PPE) – jak zmieniały się w ciągu 30 lat
Z serwerów DNS od CloudFlare (1.1.1.1 i 1.0.0.1) można już łatwo (s)korzystać na telefonach z systemem Android i iOS
Urząd Ochrony Danych Osobowych ostrzega, że oszuści wykorzystują RODO, by wyłudzić pieniądze od przedsiębiorców
Envato Elements właśnie stało się dla mnie usługą komplementarną, bo pojawiła się muzyka i efekty dźwiękowe
Zapytałem w UKE co się dzieje z (naszym) numerem telefonu gdy operator telekomunikacyjny kończy swoją działalność
Ministerstwo Finansów zapowiada prostsze i łatwiejsze w użyciu stawki VAT, co oznacza m.in. niższy VAT na e-booki
Zamieszanie wokół Idea Banku z Get Back i Komisją Nadzoru Finansowego w tle, czyli być może zamknę kolejne rachunki
O iluminacjach stworzonych na 100. rocznicę odzyskania niepodległości od strony technicznej z Dziennika Internautów niewiele się dowiedziałem
Adobe Creative Cloud Cleaner (Adobe CC Cleaner) prawdopodobnie pomoże, gdy nie działa jakiś program Adobe
Niby Elon Musk niby rozdawał na Twitterze bitcoiny za… bitcoiny i zarobił ponad 680 000 zł, i to w jedną noc
InfoWidget
Najpopularniejsze
InfoWidget