#cyberbezpieczenstwo
NextDNS - DNSy na miarę XXI wieku
Skąd kąkuter wie gdzie i do którego serwera sie odezwać, żeby otworzyć stronę smiesznekotki.pl? Otóż pomaga mu w tym system nazw DNS, który tłumaczy nazwy domen na adresy IP (albo na odwrót, bo jest też reverse DNS i mi sie zawsze myli).
DNSy są hierarchiczne, to znaczy, że zawsze musi być ktoś "wyżej" kto wie, jak Ty nie wiesz. I tak na przykład lokalny DNS na routerze nie wie, to pyta DNSów dostawcy, a ten nie wie, to pyta DNSów krajowych. Nic nie stoi na przeszkodzie jednak żeby skonfigurować urządzenie końcowe tak, by korzystało bezpośrednio z DNSów krajowych omijając to, co wymyśla dostawca. Można skorzystać zawsze z DNSów...
Miałem na #wykop aktywne 2FA, teraz przy logowaniu mnie o nie nie zapytało
Zaloguj się aby komentować
KOMUNIKAT!
Ransomware w placówce medycznej w Otwocku. Objęte incydentem dane pacjentów z 5 lat, w tym dane kontaktowe, wyniki badań, dokumentacja medyczna.
(…) w dniu 13 stycznia 2023r. doszło do ataku hackerskiego na infrastrukturę serwerową Centrum Medycznego TW-MED, w wyniku którego nieuprawniony podmiot dokonał zaszyfrowania danych zgromadzonych za serwerze w sposób uniemożliwiający Centrum Medycznemu TW-MED dostęp do danych, w tym wykonanie kopii bezpieczeństwa.
Zakres zaszyfrowanych danych obejmuje bazę wszystkich pacjentów Centrum Medycznego TW-MED z lat 2018 – 2023, w tym takie dane jak: imię i nazwisko, numer PESEL, dane kontaktowe, wyniki badań i inne dane zgromadzone w dokumentacji medycznej pacjenta, w tym w szczególności dane dotyczące stanu zdrowia.
http://www.tw-med.pl/?page_id=717
#cyberbezpieczenstwo #cybersecurity #informatyka
@Krx_S Co ma SSL do panelu logowania do WP jeśli atakujący nie może wykonać man in the middle? W Internecie są tysiące stron na WP z wystawionym panelem logowania, co oczywiście jest kiepską praktyką, ale nadal nie wiem dlaczego według Ciebie sam panel logowania, brak SSL i distro do pentestów == easy task? Mógłbyś przedstawić swój punkt widzenia?
@elmorel Bardziej chodziło mnie o brak zdziwienia atakiem skoro nawet nikt nie zadbał o podstawy. Ot to była taka ciekawostka nic więcej.
@Krx_S Ok, rozumiem. Niestety temat bezpieczeństwa jest traktowany bardzo różnie w polskich realiach instytucji publicznych, a tutaj dziwi to tym bardziej, że jak rozumiem nie jest to placówka stricte publiczna.
Zaloguj się aby komentować
Hej, Tomeczki mam nietypowy problem. Podobno smartfonem można zczytać dane z karty płatniczej. A co jeśli płaci się smartfonem zbliżeniowo - czy wtedy też można z drugiego smartfona wykraść dane karty?
#smartfony #cyberbezpieczenstwo
@Nebthtet Dzięki wielkie za rozwianie obaw
@serotonin_enjoyer mimo wszystko najlepiej ograniczyć czynnik ludzki i ustawić sobie niskie limity tak, żeby trzeba było przynajmniej potwierdzić pinem
@Kevin_Malone No, myślałam o tym. Trzeba bedzie to zrobić. Dzięki za odpowiedź
Zaloguj się aby komentować
Jaki sens ma w dzisiejszych czasach instalowanie oprogramowania antywirusowego z punktu widzenia zwykłego użytkownika?
Już nie wspominając, że ludzie pobierają tego typu programy na swoje telefony.
Windows ma wbudowanego Defendera, poza tym sama przeglądarka internetowa zapewnia ochronę przed niebezpiecznymi witrynami i plikami.
@..... Tak jak już wspomnieli przedmówcy - "wszystko to już mamy natywnie w systemie". Więc te dodatkowe programy to tylko obciążenie systemu i w wielu przypadkach "false positive".
W przypadku takiego Windows mamy wbudowaną ochronę przed wirusami i zagrożeniami. Mamy także Kontrolę Rodzicielską, która w moim mniemaniu sprawdza się znakomicie.
@..... W dzisiejszych czasach lepiej skupić się na bezpieczeństwie od innej strony. Np korzystając z menadżera haseł jak bitwarden - jedno długie hasło do bitwardena (np jakiś 5 wyrazowy wierszyk i kilka cyfr) i w bitwardenie już na luzie generujemy różne długie i maksymalnie skomplikowane hasła do wszystkich serwisów z których korzystamy.
@boria Bitwarden jest świetny, korzystam od kilku lat. Nie ma lepszego darmowego menadżera haseł
Zaloguj się aby komentować
Poinstruujcie swoich rodziców, żeby zawsze uważali na takie smsy i zawsze! dzwonili na stary numer aby się upewnić.
Takiego SMS dostała moja mama. Na szczęście jej podejście "jak coś będzie chcieć ważnego to zadzwoni" uratowało ją w tej chwili.
BTW. Whatsapp to chyba najgorsza aplikacja do komunikacji. Powiązania z numerem telefonu to największe pole do nadużyć.
@AdelbertVonBimberstein moja matka tez takiego dostala, ale widziala, ze scam
@zero no ale mówimy o szpiegowaniu przez korpo czy udzielaniu informacji organom ścigania? Bo to 2 osobne sprawy.
Paranoja zawsze jest zła :). Wg mnie wystarczy zmienić wyszukiwarkę i przeglądarkę na duckduckgo, zmienić wirtualną klawiaturę na smartfonie na jakąś opensource, zainstalować jakiś bloker reklam (np Blokada) a stopień reklam i szpiegowania zostanie drastycznie ograniczony. Miłego dnia!
@ivanar od niedawna obsługuje, jednak trzeba coś tam za to zapłacić https://telegram.org/blog/ultimate-privacy-topics-2-0
Zaloguj się aby komentować
Użytkownicy LastPass: Twoje informacje i dane są teraz w rękach hakerów.
LastPass twierdzi że ujawniony w sierpniu wyciek danych był znacznie gorszy niż wcześniej sądzono.
@zuchtomek i ma rację, sam używam tylko że offline
@mute Offline bez synchronizacji nie różni się niczym od przechowywania w zaszyfrowanym katalogu z uprawnieniami tylko dla adminów
@mute mój masterpassword jest unikalny i dość trudny, więc nie martwię się specjalnie, ale fakt, że kto ma LastPassa to się w cyrku nie śmieje, bo im co jakiś czas coś wycieka
Zaloguj się aby komentować
Chyba poważny problem z Lastpass
https://twitter.com/Sekurak/status/1606050097967480832
https://twitter.com/Zaufana3Strona/status/1606042674988982276
Rok bez zhackowanego LastPassa rokiem straconym. Nie wiem czemu ktoś ciągle z niego korzysta przy tylu bezpieczniejszych alternatywach, zarówno płatnych jak i darmowych (1Password, Bitwarden, Keepass)
Zaloguj się aby komentować
Będzie można zastrzec swój PESEL i uchronić się przed pożyczkami na skradzione dane
Minister cyfryzacji przygotował propozycję przepisów, które umożliwią każdemu szybkie zastrzeganie swego numeru PESEL w razie wycieku czy kradzieży danych osobowych. Firmy zobowiązane ustawą będą musiały przed zawarciem umowy sprawdzić w rejestrze, czy numer nie został zablokowany. Gazeta Prawna...
Ransomware zaatakował Urząd Marszałkowski Województwa Mazowieckiego: zaszyfrowane dane systemu Elektronicznego Zarządzania Dokumentami (EZD) oraz innych systemów.
Jest super xD
@LovelyPL eee, jak w jednym korpo jakiś kloc zaszyfrował część share'owanych zasobów (nie wiem jak, ale to było w sumie przed antywirem z domyślnie wbudowanymi opcjami antyransom), to IT przywróciło wszystko w 1 dzień.
@SuperSzturmowiec i tak dobrze, że więcej giereczek niż kiedyś portują pod MacOS.
@dsol17 na steamie coraz więcej, zwłaszcza, że steamOS z tego, co pamiętam to też pingwinek/
@Nebthtet Niby tak,ale steam to chmura, a chmura to "trzymanie rzeczy na komputerze kogoś innego".
@dsol17 steamos instalujesz na swoim kompie, gry ściągasz na swojego kompa, możesz grać online. To nie stadia / gfn / luna / cośtam innego
Zaloguj się aby komentować
Najlepsza ochrona twojego telefonu. 7 wskazówek eksperta.
Korzystając ze smartfonów warto pamiętać, że powinniśmy stosować się do prostych zasad bezpieczeństwa. Z pozoru prostych, jednak nie wszyscy o nich pamiętają. O odpowiedniej ochronie warto jednak pomyśleć wcześniej, by później nie żałować utraty danych.
Radami z zakresu bezpieczeństwa mobilnego podzielił się Tomasz Chomicki, dyrektor ds. rozwoju biznesu w Samsung Electronics Polska.
- Stosowanie różnych haseł do różnych aplikacji i kont.
Nie stosujemy tego samego hasła do różnych kont, portali społecznościowych, bankowości mobilnej itd. Dlaczego? Jeśli dojdzie do zhakowania jednego konta, to stracimy wszystkie dane i informacje ze...
W sumie nikt nie popełniał chyba jeszcze wpisu o Yubikeyach, więc potencjalny autorze - jako uzupełnienie tego wpisu masz szansę
No, ale nie o tym.
Zapewne większość z was uwierzytelnia różne rzeczy telefonem - czy to aplikacją bankową, czy też korzystając z aplikacji typu Google Authenticathor, Authy, 2FAS, Ping iD. Wiecie, jak to skonfigurować i jak obsługiwać. Ale czemu działa? I dlaczego jak zgubimy telefon i nie mamy kopii zapasowej, to nie można nijak odzyskać konta bez kodów generowanych przy podpinaniu aplikacji / klucza uwierzytelniającego?
Aby nie pomieszać (bo klucze sprzętowe typu Yubikey to jedno, a aplikacje generujące kody to drugie) warto poznać pojęcie TOTP (Time Based One Time Password). To ten 6-cyfrowy kod, który zmienia się co 30 sekund, który generuje nam aplikacja. To działa, bo istnieje "sekret", który zna authenticator. Owym "sekretem" jest właśnie jest kod (kreskowy, QR itp), który skanuje się łącząc aplikację z kontem. Gdy apka uwierzytelniająca "zna" ten sekret, może wypluwać 6-cyfrowe kody, które pozwolą na zalogowanie się - ale uwaga - nigdy nie ujawnia go ponownie i nie ma jak jej go z bebechów wydłubać.
W przypadku aplikacji na smartfony "sekret" jest przechowywany w telefonie. W przypadku kluczy sprzętowych takich jak Yubikey, "sekret" jest przechowywany TYLKO na kluczu (i ujawniony, gdy podłączysz klucz do dowolnego urządzenia, na którym możesz uruchomić Yubikey Authenticator).
Korzystając z aplikacji uwierzytelniających Jeśli chcesz, możesz wydrukować kod kreskowy / QR (czyli ów "sekret") i załadować go do wielu urządzeń (czyli np. 3 smarfony będą w stanie generować te same kody) na początku, gdy po raz pierwszy ustawiasz TOTP lub później w dowolnym terminie. Czyli tylko aplikacje, które "widziały" ów konkretny, sekretny kod będą w stanie generować dla użytkownika działające kody.
Ogólnie przyjmuje się, że najlepiej jest mieć "sekret" w dwóch miejscach, zwłaszcza w przypadku stron / kont, które nie dają opcji awaryjnego uwierzytelniania np. przy pomocy SMS (a pamiętajmy, że opcja awaryjna czyni rzeczy MNIEJ bezpiecznymi np. ta SMS-owa jest podatna na kradzież / klonowanie karty SIM). Większość ludzi w takiej sytuacji skorzystałaby z dwóch fizycznych kluczy (dlatego doradza się od razu kupowanie zapasowego), przechowywałaby wydrukowaną kopię "sekretu" do konfiguracji authenticatorów, albo kodów do odzyskwania konta gdzieś w bezpiecznym miejscu.
To, co warto zrozumieć i zapamiętać, to fakt, że nie możba NIGDY wydostać sekretu z Yubikey lub aplikacji typu Google Authenticator. Nie ma także sposobu na wykonanie kopii zapasowej klucza Yubikey lub Google Authenticator bez oryginalnego kodu kreskowego (lub jego odpowiednika tekstowego).
Klucze Yubikey obsługują również U2F, który jest lepszym, bardziej bezpiecznym rozwiązaniem od TOTP, ponieważ nie ma tu kodu, który można wyłudzić. Niestety wsparcie dla tej opcji jest rzadziej spotykane niż dla TOTP, ale zdecydowanie lepiej jest używać go, jeśli się ma taką możliwość. Jest to coś, czego prawdopodobnie nigdy nie próbowałeś, jeśli nie masz jakiejś odmiany klucza sprzętowego.
Na koniec ciekawostka: żaden polski bank nie umożliwia dodatkowego zabezpieczenia swojego konta przy pomocy kluczy sprzętowych i mimo plotek o trwających pracach, od dwóch lat temat z miejsca nie ruszył.
Uwaga: wyjaśnienie znalazłam w necie i przerobiłam, żeby się lepiej czytało i było przystępniejsze dla przeciętnego człowieka. Wg mojej wiedzy trzyma się kupy, ale jeśli ktoś znacznie lepiej obeznany ode mnie dostrzeże nieścisłości, to proszę o sprostowanie
W ogóle to ciekawe, czy ktoś tę ścianę tekstu w ogóle przeczyta
A tu trochę info o kluczach (i niech was nie pokusi kupować kiedykolwiek używki, czy korzystać z jakiegoś znalezionego na ulicy
@arcy keepass do bazy lokalnej, na fonie keepass2android offline,a do weryfikacji dwuetapowej Authy zamiast google.
Jako poczta polecam proton mail opcjonalnie tutanota.
@Nebthtet
Nie ma także sposobu na wykonanie kopii zapasowej klucza Yubikey lub Google Authenticator bez oryginalnego kodu kreskowego
a google auth nie ma backupu i nie można przenosić pomiędzy urządzeniami?
@kosik jakieś formy backupu są (nie wiem jak na Androidzie, na iOS na pewno, bo mój migrowało w backupie). Ale raczej nie wyciągniesz z niego tego kodu kreskowego do ponownego zeskanowania, bo to byłby gigantyczny wektor potencjalnego ataku.
Zaloguj się aby komentować
Szyfrowanie z kluczem jednorazowym
Na wstępie powiem, że w tym wpisie używane będą pojęcia, które wyjaśniłem w moich dwóch wcześniejszych wpisach, gdyby coś było niejasne, polecam zajrzeć.
(https://www.hejto.pl/artykul/losowosc-w-informatyce),
(https://www.hejto.pl/artykul/o-utajnianiu-wiadomosci-w-komunikacji-bezposredniej)
Zastanawiałeś się może, co potrzebne jest do stworzenia bezpiecznego szyfru? Rozległa wiedza w dziedzinie matematyki? A może umiejętności programistyczne? Otóż nie, takie umiejętności mogą być przydatne, ale jedyne co naprawdę potrzebujesz to umiejętność dodawania i odejmowania, nie potrzebujesz nawet komputera, ale po kolei.
Czym tak właściwie jest...
AstraZeneca - luka naraziła na szwank dane pacjentów
Farmaceutyczny gigant AstraZeneca obwinił "błąd użytkownika" za pozostawienie w sieci na ponad rok listy danych uwierzytelniających, które narażały dostęp do wrażliwych danych pacjentów.
Deweloper pozostawił dane uwierzytelniające do wewnętrznego serwera AstraZeneca na stronie...
Czy warto zainstalować aplikację mobilną swojego banku?
Tomki, warto przeczytać artykuł z linku, zwłaszcza jeżeli ktoś ma jakieś obiekcje.
Niektórzy z Was boją się aplikacji mobilnych swoich banków. Czasem piszecie do nas i pytacie “czy apka banku jest bezpieczna”? Albo wprost informujecie nas, że apki banku nie zainstalujecie i pytacie co Wam grozi, jeśli pozostaniecie przy potwierdzaniu transakcji SMS-em? Czy strach przed instalacją aplikacji mobilnej banku jest uzasadniony? Dziś spróbujemy odpowiedzieć na te pytania.
https://niebezpiecznik.pl/post/czy-warto-zainstalowac-aplikacje-mobilna-swojego-banku/
Dzięki, podsyłam do ojca
Zaloguj się aby komentować