Tag: szyfrowanie
Wszystkie
Najnowsze
Krótka historia o tym, jak Rosjanie złamali Signala… w niektórych mediach i na Twitterze, a wystarczyło kilka sekund, by zweryfikować tę informację
Przeglądając Twittera natknąłem się na tweety Piotra Woyciechowskiego, który nie jest na pewno postacią anonimową, a i raczej coś tam “o świecie” chyba powinien wiedzieć, bo jak podaje Wikipedia, to: “polski urzędnik, ekspert ds. służb specjalnych, publicysta, działacz gospodarczy”. Wiele z tego można pominąć, ale “ekspert ds. służb specjalnych” pasuje do kontekstu chyba jak znalazł. A ów kontekst to już wspomniane tweety, z których dowiedziałem się, że “jak podaje The New York Times, Rosjanie posiadają narzędzia umożliwiające skuteczne hakowanie WhatsAppa i Signala”. Z racji tego, że sam korzystam z Signala, i choć “branża” jakby przegapiła tę “podatność Signala”, postanowiłem przyjrzeć się bliżej tematowi.
SMS z linkiem do Twoja Enea, czyli próba wyłudzenia danych logowania do bankowości internetowej na fałszywe opóźnienie w płatności
W ostatni piątek, już w godzinach weekendowych (06.03.2020, po godzinie 16) trafiłem na ciekawy przekręt związany z powszechną metodą “na dopłatę”. Tym razem celem byli potencjalni kliencie Enea (potencjalni, bo coś czuję, że dla powodzenia tego przekrętu akurat to nie miało wielkiego znaczenia ;-P). Procedura klasyczna – SMS z informacją o konieczności dopłaty zazwyczaj jakiejś niewielkiej kwoty i link. I to właśnie ten link sprawił, że uznałem, że wprawdzie artykułu nie będę od razu pisał (weekend ;-)), to przynajmniej zabezpieczę materiały na potrzeby artykułu w późniejszym terminie…
Zagrożenia wynikające z pomyłki w domenie adresu e-mail na przykładzie wiadomości Urzędu Miasta St. Warszawy, Biura Bezpieczeństwa i Zarządzania Kryzysowego w sprawie koronawirusa
Do kolegi, od którego zaczął się temat o tym, jak to Urząd Miasta St. Warszawy, Biuro Bezpieczeństwa i Zarządzania Kryzysowego rozesłało pismo z literówką w adresie e-mail do zgłaszania “osób do nadzoru” (koronawirus) dostałem kolejną informację. Tym razem opisał mi rozmowę z koleżanką, która (współ)odpowiadała za przygotowanie informacji, o których mowa w piśmie (tym z literówką w adresie e-mail). Koleżanka (i jej koleżanki) rozumiała, że “faktycznie może to być problem”, choć głównie w kontekście ochrony danych osobowych i RODO. Może ma rację, może nie… Ale moim zdaniem to w tym przypadku akurat kwestie wycieku danych osobowych (imię i nazwisko, adres, numer telefonu, miejsce pracy, ryzyko zarażenia koronawirusem) to powinno być najmniejsze zmartwienie. Przynajmniej gdyby domena dostała się w niepowołane ręce…
Pracownik uczelni SGGW stracił laptopa z “danymi osobowymi przetwarzanymi w trakcie postępowań rekrutacyjnych”
Od kilku dni internet rozgrzewa informacja o kradzieży komputera jednego z pracowników SGGW (Szkoła Główna Gospodarstwa Wiejskiego), na którym znajdowały się “dane osobowe przetwarzane w trakcie postępowań rekrutacyjnych w ostatnich latach na studia w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie”. Temat jest poważny nie tylko ze względu na bardzo szeroki zakres potencjalnie danych, jakie potencjalnie mogą dostać się w niepowołane ręce. Jest poważny również dlatego, że pokazuje pewnego rodzaju patologię, jeśli chodzi o przetwarzanie danych, i to nawet w takich instytucjach jak SGGW, i to w momencie, gdy RODO obowiązuje od kilku już lat. Zwłaszcza że dyskusje, które wejściu w życie RODO towarzyszy raczej każdemu powinny uświadomić, co to są dane osobowe i na czym powinna polegać ich ochrona.
AOMEI Backupper to nadal dobry i bezpłatny (wersja standard) program do kopii zapasowych m.in. Windowsa, ale rys coraz więcej
Od dość dawna do kopii zapasowej (BackUp) systemu operacyjnego Windows korzystam z programu AOMEI Backupper (jedno z 2 rozwiązań, tak na wszelki wypadek). Również ten program do niedawna polecałem znajomym, którzy szukali czegoś prostego, i co najwazniejsze – skutecznego. I choć sam z programu jeszcze nie zrezygnowałem, to program polecam coraz rzadziej…
DNS-over-HTTPS (DoH), czyli szyfrowane (HTTPS) połączenie do serwerów DNS (na razie w przeglądarce Mozilla Firefox)
W kontekście przeglądarki Firefox dziś pewnie dominują w internecie informacje na temat płatnej subskrypcji, jaką Mozilla ma w planach zaoferować (Firefox Ad-free Internet). Ale na razie poza prostą stroną z zajawką (subskrypcja za 4,99 $ miesięcznie) wiele się nie dowiemy, bo nawet przycisk “sign up now” prowadzi do ankiety, gdzie już na pierwszej stronie mamy informację “this product isn’t available yet, but we’re working on it”. Dlatego, zamiast bawić się w spekulacje i clickbaitowe tytuły, postanowiłem, że napiszę o DNS-over-HTTPS (DoH), co wydaje się tematem dużo ciekawszym. Choć miejscami kontrowersyjnym…
BitLocker i anulowanie procesu (de)szyfrowania dysku, czyli krótki poradnik co zrobić, gdy zmieniliśmy zdanie, a zależy nam na czasie
O szyfrowaniu dysków BitLockerem, z którego od dawna sam korzystam pewnie będzie oddzielny artykuł, ale szukając “pomysłu” na jeszcze jeden artykuł dziś, bo do 18 zostało jeszcze kilka minut, natknąłem się na notatkę, którą zrobiłem jakiś czas temu, gdy zadzwonił do mnie kolega, z pytaniem, jak anulować proces deszyfrowania dysków, bo przy dużych dyskach zapełnionych po brzegi ponowne szyfrowanie to nie godziny a dni. Nie ma jako takiej komendy pozwalającej anulować polecenie deszyfrowania dysków, ale można to obejść… korzystając z uproszczonej komendy służącej do szyfrowania.
Gdy oddawałem telefon do serwisu Huawei poprosili o… zdjęcie blokad, lecz już nie skasowanie danych (ustawienia fabryczne)
Artykuł o sytuacji Huawei (o tym, jak to widzę) cały czas czeka, bo chyba nie ma dnia, by jakaś kolejna firma nie dała im kopniaka, lub go (przynajmniej częściowo) nie cofnęła. Choć odbywa się to raczej na zasadzie dwa kroki w przód, jeden w tył. I tak kolejne sklepy i kolejni operatorzy organizują duże, a czasem nawet bardzo duże wyprzedaże telefonów tej firmy. Czy warto korzystać, czy nie, tego nie wiem, ale na pewno trzeba liczyć się z tym, że telefon może niebawem zostać pozbawiony aktualizacji, czy wręcz dostępu do usług Google (np. Google Play). Jeśli się jednak zdecydujecie, lub – tak jak ja – macie już telefon tej marki, to niewykluczone, że będziecie musieli oddać go do serwisu. I na ten temat mam pewną anegdotkę…
Usługa Firefox Send (szybkie przesyłanie i dzielenie się plikami) wyszła z testów, i jest teraz jeszcze lepsza
O usłudze Firefox Send pisałem pod koniec 2017 roku, gdy działała w ramach projektu Firefox Test Pilot (taki poligon doświadczalny dla różnych usług). I od tego czasu właściwie zawsze, gdy miałem do przesłania jakiś plik poniżej jednego gigabajta, który nie musiał być dostępny dłużej niż 24 godziny, to korzystałem właśnie z usługi Firefox Send. Najwidoczniej nie tylko ja (i moim znajomi), bo usługa właśnie wyszła z fazy testów…
Cloudflare i “pętla przekierowań”, czyli różne ustawienia SSL w obrębie domeny z wykorzystanie Page Rules (zasady stron)
Przy większości stron korzystam z Cloudflare (jest bezpieczniej, a do tego np. zmiany w rekordach DNS są odzwierciedlane właściwie w czasie rzeczywistym) i polecam to też znajomym. Zwłaszcza że z Cloudflare można korzystać bezpłatnie, a do tego w większości przypadków działa to właściwie bezobsługowo. Zdarzają się jednak sytuacje, gdy może być potrzebna drobna korekta ustawień. Z jednym z takich przypadków spotkał się jeden z naszych czytelników, który zwrócił się do nas z prośbą o pomoc…
Mam dla ciebie złe wieści – Twój adres e-mail został naruszony, czyli kolejny “script kiddie” w akcji
Dziś mama koleżanki dostała e-mail, który trochę ją wystraszył. Na szczęście koleżanka od razu wyjaśniła, że to tylko ściema, osoba ta raczej nie ma żadnych danych, o których pisze (nawet jakby ktoś faktycznie zaglądał tam, gdzie niespełniony szantażysta pisze ;-)). Ja o tego typu wymuszeniach słyszałem nie raz, ale uznałem, że skoro to mama mojej bliskiej koleżanki, to może w ramach uspokojenia będzie chciała oprócz zapewnień córki przeczytać uspakajający artykuł w jakimś specjalistycznym serwisie… ;-)
Aplikacja Signal Desktop (Windows i Mac) z jawnym hasłem do zaszyfrowanej lokalnej bazy danych (SQLite)
Z racji tego, że korzystam z komunikatora Signal, kolega – który też z niego korzysta – podesłał mi link do artykułu, w którym opisana jest pewna “podatność” w desktopowej (Windows i Mac) komunikatora, która pozwala na relatywnie łatwe odczytanie zaszyfrowanej bazy danych, w której znajdują się m.in. odebrane i wysłane wiadomości. Nie zdziwiło mnie to, gdyż… sam jakiś czas temu, szukając pewnej informacji postanowiłem dobrać się do pliku SQLite wykorzystywanego przez aplikację Signal, i nie było to trudne…
Ochrona przed oprogramowaniem wymuszającym okup w Windows Defender Security Center
To, że ostatnio jakby ciszej o programach szyfrujących dane użytkownika i żądających okupy nie znaczy, że tego typu zagrożenia mamy już za sobą. Za duża i za łatwa to kasa, by przestępcy mieli z niej tak łatwo zrezygnować. A cisza wynika bardziej z tego, że po kilku ostatnio nagłośnionych kampaniach tego typu chyba trochę się już nam ten temat znudził. Przynajmniej tym, na których nie trafiło… Ostatnio przeglądając ustawienia zabezpieczeń systemu Windows 10 trafiłem na pewne rozwiązanie, które może pomóc obronić się przed tego typu atakiem.
EFAIL, czyli podatność w (niektórych) implementacjach szyfrowania poczty e-mail za pomocą OpenGPG oraz S/MIME
Choć sam zazwyczaj nie korzystam z szyfrowania treści przesyłanych wiadomości e-mail (oczywiście korzystam z szyfrowanego połączenia IMAP/SMTP), to raz na jakiś czas (z różnych przyczyn) z taką korespondencją mam do czynienia. Nie korzystam, dlatego, że zazwyczaj nie mam takiej potrzeby, a gdy potrzebuję wymienić “tajne sekrety”, to korzystam z innych metod/sposobów, które są dużo wygodniejsze i prostsze w użyciu. Szyfrowanie wiadomości za pomocą np. OpenPGP, choć jest relatywnie skomplikowane, to jest bezpieczne. A przynajmniej było…
Dzięki zatrzymaniu Tomasza T. udało się m.in. przygotować narzędzie pozwalające odszyfrować dane zaszyfrowane przez ransomware Vortex (Flotera, Polski Ramsomware)
Po niedawnym aresztowaniu Tomasza T., podejrzanego o ponad 180 przestępstw związanych z rozsyłaniem złośliwego oprogramowania, i przy okazji konfiskatą sprzętu komputerowego wykorzystywanego przez “Thomasa” (Thomas, Armaged0n, The.xAx, 2Pac Team), pojawiła się nadzieja, że przynajmniej w niektórych przypadków (tm.in. am gdzie “magik” nie dał ciała, i przez błędy w konfiguracji wykorzystywanych “gotowców” sam nie pozbawił się takich możliwości – kluczy deszyfrujących) uda się przygotować narzędzia, pozwalające odszyfrować dane. I tak faktycznie się dzieje…
BitLocker i błąd danych (CRC) przy próbie aktywacji automatycznego odblokowywania dysków w systemie Windows
Opublikowałem dziś artykuł o szansie na odzyskanie danych z uszkodzonego dysku (partycji) szyfrowanej za pomocą oprogramowania BitLocker. Temat troszkę wywołany moim ostatnimi przygodami po tym, ja z Windowsa wyparował mi dźwięk po ostatniej dużej aktualizacji. Przy ponownym szyfrowaniu dysku systemowego standardowo postanowiłem aktywować automatyczne odblokowanie pozostałych dysków, wraz z odblokowaniem (startem) systemu. Przy tej okazji również natrafiłem na błąd, i uznałem, że warto się z Wami podzielić rozwiązaniem, zwłaszcza że jest dość banalne…
Odzyskiwanie danych z uszkodzonego (np. przypadkowo skasowanego lub sformatowanego) dysku szyfrowanego za pomocą programu BitLocker
Dyski w swoich komputerach szyfruję od bardzo dawna. Kiedyś był to TrueCrypt, ale od kilku już lat do tego celu korzystam m.in. z wbudowanej w system Windows funkcji BitLocker. I tak, mam świadomość, że potencjalnie m.in. amerykańskie służby mogą mieć jakąś “tylną furtkę”, ale szczerze – gdybym ewentualnie znalazł się na ich celowniku, to akurat zawartość dysków mojego komputera byłaby chyba moim najmniejszym zmartwienie. Mi raczej chodzi o potencjalnego zwykłego złodzieja, by w razie co (odpukać) przynajmniej nikt niepowołany nie miał dostępu do moich danych. I do tego celu BitLocker sprawdza się idealnie – prosty w obsłudze, zintegrowany z systemem i narzędziami, i skuteczny. O tym ostatnim mogłem przekonać się choćby kilka dni temu, gdy z pewnych przyczyn jedna z szyfrowanych partycji została sformatowana. Co najmniej dwukrotnie…
Przeglądarka wyświetla “niebezpieczna strona”? Najwyższy czas wdrożyć certyfikat SSL (HTTPS) na stronie internetowej
Od jakichś 2 dni mój czytnik RSS bombardują kolejne artykuły o ty, że z wyszukiwarki (obrazów) Google zniknął bezpośredni przycisk (odnośnik) do zdjęcia, co jest zapewne następstwem ugody zawartej z Getty Images. Osobiście temat uznałem niespecjalnie istotny – chyba, ze ogólnie w kontekście praw autorskich, i pewnych “patologii”, które co jakiś czas dają o sobie znać (nie mówię/piszę, że tak jest w tym przypadku). Dziś natomiast właściwie z każdej strony dowiaduję się, że… w mobilnej wersji Chrome pojawi(ł) się wbudowany i automatyczny skracacz (upraszczacz) linków. Choć nie lekceważę tego – głównie z punktu widzenia marketingu, to jednak nie będę odnosił się do tego w poniedziałek na konferencji prasowej… ;-)
Dla mnie ważniejsze wydaje się to, że coraz bardziej zaciska się “przeglądarkowa pętla na szyi” osób, które z jakichś przyczyn cały czas nie wdrożyły na swoich stronach szyfrowanego połączenia HTTPS/SSL.
Niezwyciężeni, czyli niezwykła animacja przedstawiająca 50 lat walki Polaków o wolność
Jakiś czas temu ktoś w komentarzu przyczepił się do tekstu informującego, że u nas komentarz napiszesz bezpłatnie, a nie tak jak na… W oczy zak(ł)uł też baner upamiętniający Powstanie Warszawskie, który co roku przez 63 dni zdobi górę strony (na szczęście to pojedynczy głos, i zazwyczaj reakcje są całkiem inne). Dziś atmosferę znowu trochę “podgrzeję” – będzie kolejna “pseudo patriotyczna wstawka” (cytat ze wspomnianego komentarza), bo nie dość, że jest okazja przypomnieć sobie trochę historii, to jeszcze wyszła nie najgorsza animacja…
Gmvault, czyli prosty sposób na kopie zapasowe (a nawet migrację między kontami) poczty Gmail (i G Suite)
Jak ważne jest robienie kopii zapasowych (BackUp) sporo osób sobie uświadamia dopiero gdy znajdzie się w sytuacji, w której taka kopia by się przydała. Zazwyczaj tworzymy kopie zapasowe systemu, najważniejszych danych, może zdjęć z wakacji czy imienin cioci – ogólnie wszystkiego, co uznamy za ważne. Warto też pomyśleć o kopii zapasowej poczty e-mail, bo choć nie zanosi się by np. taki Gmail miał zniknąć, ale nigdy nic nie wiadomo (zawsze może też dojść do blokady konta).
Wesprzyj nas!
Promocja własna
Najnowsze wpisy
Opcja “restore_from_flash”, czyli sposób na zapamiętywanie ustawień w ESPHome na układach ESP8266
Blokowe szablony powiadomień (block notice) w WooCommerce, nawet w klasycznych motywach
Poznaj aplikację DroneTower, czyli nowy (i teoretycznie obecnie jedyny) sposób zgłaszania lotów dronami
WordPress 6.5 i “Requires Plugins”, czyli autor wtyczki może teraz w prosty sposób określić, jakie wtyczki są niezbędne (wymagane), do działania jego wtyczki
Przegląd nowości w aktualizacji 01.03.1300 oprogramowania kontrolera DJI RC (RM330)
Promocja własna
Promocja własna