HARD CORE SECURITY LAB

Rejestrując się w ramach rozmaitych serwisów internetowych, zazwyczaj jesteśmy zmuszeni do zaakceptowania regulaminu, w tym polityki prywatności. To właśnie w tym dokumencie możemy niejednokrotnie znaleźć zapisy takie, jak informacja o tym, że dane na nasz temat mogą być swobodnie wykorzystywane, a czasem nawet sprzedawane firmom trzecim. Dlaczego więc pomimo coraz większych zagrożeń dla naszej prywatności, zazwyczaj w ogóle nie czytamy tych postanowień, a jedynie klikamy "zgadzam się"? Jak się okazuje, odpowiedź na to pytanie jest całkiem prosta...

Jak już wczoraj wspominałem, udział w inicjatywach takich jak zmasowane ataki na serwisy internetowe napiętnowane przez internetowych aktywistów rodem z 4chana, moim zdaniem nie jest dobrym pomysłem. Pomysłodawcy tak naprawdę przeprowadzają tego typu operacje cudzymi rękoma, za pomocą komputerów należących do poszczególnych wolontariuszy, przy czym w ogóle nie dbają o ich bezpieczeństwo i prywatność. Co jednak najciekawsze, słynni Anonimowi nie potrafią nawet zadbać o własną anonimowość...

Wszyscy rodzice z pewnością zdają sobie sprawę z tego, że Internet może się okazać dla ich pociech miejscem sprzyjającym złemu wychowaniu. Ci, którzy łudzą się, że ich dzieci w globalnej pajęczynie szukają jedynie informacji na temat nowych filmów Disney'a lub nastoletnich gwiazd współczesnej poopkultury, są w błędzie. Oczywiście możemy wcielić się w rolę domowego cenzora, możemy również surfować wspólnie z dziećmi, pokazując im dobre strony internetowej edukacji. W żadnym przypadku prawdopodobnie nie uchronimy jednak najmłodszych w pełni przed nieodpowiednimi treściami. Dodatkowo warto jednak wiedzieć, że na internetowym horyzoncie pojawiło się jeszcze jedno poważne zagrożenie... a mianowicie znacznie nasilony w ostatnim czasie haktywizm.

Pewien artysta z Nowego Jorku zaprezentował praktyczną implementację bardzo nietypowego sposobu na anonimową wymianę plików w modelu P2P (ang. peer-to-peer). Co ciekawe, nowy system nie wymaga dostępu do jakiejkolwiek sieci komputerowej! Spójrzmy w jaki sposób artysta podszedł do tego typu zagadnienia i czy rzeczywiście zapewnił swym potencjalnym użytkownikom anonimowość oraz bezpieczeństwo?

Chyba nikt nie ma już wątpliwości co do tego, że firma Google gromadzi na temat swych użytkowników ogromne ilości informacji. Pomimo głośnych wpadek, takich jak przypadki gromadzenia informacji przechwyconych z prywatnych sieci bezprzewodowych, nadal wszyscy chcemy wierzyć, że internetowy gigant w należyty sposób chroni informacje i sekrety, które mu powierzamy na co dzień korzystając z jego rozlicznych usług. Tymczasem na jaw wyszyły informacje o pracowniku firmy Google, który szpiegował swych znajomych, uzyskują dostęp do używanych przez nich usług Google.

Właścicieli wszystkich komputerów stacjonarnych oraz przenośnych, które wyposażone są w kamerę oraz/lub mikrofon, zachęcam do zwrócenia szczególnej uwagi na nową metodę ataku pozwalającego na zdalne podglądanie oraz podsłuchiwanie użytkowników takiego komputera. Okazuje się, że możliwe jest przygotowanie specjalnej strony internetowej, która pozwoli innym dowolnie wybranym stronom internetowym na przechwytywanie obrazu z kamery oraz dźwięku zarejestrowanego przez mikrofon bez naszej wiedzy i zgody.

Nowoczesne smartfony są obecnie najczęściej wyposażone w fabryczny odbiornik GPS. Obecność takiej funkcji w naszym wielozadaniowym telefonie może czasem w sposób bardzo nieoczekiwany zagrażać naszej prywatności. Przykładem może być tutaj chociażby zamieszczanie danych geolokacyjnych w metadanych zdjęć wykonywanych za pomocą popularnego iPhone'a. Okazuje się jednak, że wbudowany GPS może również zostać wykorzystany w celu prowadzenia permanentnego śledzenia właściciela takiego urządzenia.

Wizja zdalnego hackowania nowoczesnych, naszpikowanych elektroniką samochodów staje się coraz bardziej realna. Kilka miesięcy temu byliśmy świadkami jednego z pierwszych przypadków zdalnego przejęcia kontroli nad ponad setką pojazdów. W tamtym przypadku intruz wykorzystał jednak do przeprowadzenia ataku dodatkowy system elektroniczny montowany przez dealerów w celu sprawowania kontroli nad pojazdami należącymi do zadłużonych właścicieli. Bez wątpienia znacznie większe zagrożenie będą stanowić zdalne ataki zdolne do wykorzystania słabości fabrycznego wyposażenia pojazdu. Badacze z Rutgers University oraz University of South Carolina właśnie zaprezentowali jeden z pierwszych praktycznych ataków tego rodzaju.

Biały wywiad (ang. Open Source INTelligence) to forma zdobywania wszelkich dostępnych informacji o interesującym nas obiekcie, pochodzących jednak wyłącznie z ogólnodostępnych źródeł (Internet, prasa, itp.). To że źródła są dostępne dla każdego nie oznaczy jednak, że każdy może i potrafi z nich skorzystać! Dlatego też skuteczny OSINT nie jest sztuką łatwą. Z pomocą mogą nam jednak przyjść narzędzia stworzone specjalnie z myślą o białym wywiadzie, a wśród nich warto wyróżnić program Maltego, który właśnie został udostępniony w wersji 3.

Z bardzo popularnego serwisu thepiratebay.org wyciekły poświadczenia (nazwy użytkowników oraz skróty haseł wygenerowane za pomocą algorytmu MD5), adresy e-mailowe oraz adresy IP związane z około 4 milionami jego zarejestrowanych użytkowników. Wszystko to za sprawą podatności na atak typu SQL injection.

Badacze działający w ramach Electronic Frontier Foundation, opublikowali wyniki badań prowadzonych w ramach projektu Panopticlick. Przypomnijmy, że prace te dotyczyły nowatorskiej metody identyfikacji internautów, a wyniki przeprowadzonego eksperymentu nie pozostawiają żadnych złudzeń. Metoda, którą można określić mianem browser fingerprinting, pozwala na bezbłędne identyfikowanie i śledzenie większości internautów...

Dla nikogo nie jest już tajemnicą, że firma Google gromadzi na temat internautów niezliczone ilości informacji. Korzystając z dowolnej usługi internetowego giganta, powierzamy mu kolejne porcje, często bardzo prywatnych danych. Okazuje się jednak, że przez cztery ostatnie lata firma Google zbierała oraz przechowywała dane transmitowane w publicznych oraz prywatnych (niezabezpieczonych) sieciach WiFi...

27 grudnia 2009 roku w Berlinie, specjaliści opublikowali w trakcie 26. edycji Chaos Communication Congress (26C3) wprowadzenie do metody pozwalającej na przełamanie obecnie stosowanego algorytmu szyfrowania łączności komórkowej A5/1 wraz ze wskazówkami pozwalającymi na zbudowanie urządzenia przechwytującego numery IMSI do podsłuchiwania komunikacji prowadzonej za pomocą przenośnych telefonów. Tym samym używany przez około cztery miliardy ludzi w ponad 200 krajach mechanizm Global System for Mobile Communications (GSM) ostatecznie przestał być bezpieczny, pozostała tylko kwestia zbudowania gotowych urządzeń zdolnych do podsłuchu. Nie musieliśmy jednak długo czekać, oto powstał bowiem Dominator I -- pierwszy przenośny zestaw do podsłuchiwania sieci GSM w czasie rzeczywistym!

Grafologia to technika śledcza pozwalająca na badanie autentyczności pisma oraz ustalanie tożsamości jego autora. Ekspertyza pismoznawcza ma duże znaczenie w kryminalistyce i często znajduje zastosowanie przy wykrywaniu fałszerstw oraz ustalaniu kręgu podejrzanych. Jednak w dzisiejszych czasach, gdy coraz częściej piszemy na klawiaturze komputerowej, a nie na kartce papieru, nadszedł czas na rozwój e-grafologii. Wyniki pierwszych badań w tym zakresie, które są właśnie prowadzone przez naukowców z Uniwersytetu Newcastle, są bardzo obiecujące.

Wygląda na to, że iPad okazał się kolejnym marketingowym sukcesem firmy Apple i sprzedaje się całkiem nieźle. Pomijając jednak wszelkie rozważania na temat sensu zakupu tego urządzenia, chciałbym zwrócić uwagę wszystkich obecnych oraz potencjalnych użytkowników tego gadżetu, na program Mobile Spy. Aplikacja ta bowiem może się przydać wszystkim wścibskim szefom, zazdrosnym małżonkom oraz zatroskanym rodzicom...

Windows 7, będący następcą kompletnie nieudanej Visty, prawdopodobnie okaże się dla Microsoftu szczęśliwą siódemką i powtórzy komercyjny sukces Windowsa XP. System ten nie zapewni nam jednak bezpiecznego środowiska pracy. Oto 7 dowodów na potwierdzenie tej tezy.- WOJCIECH SMOL