12/25/2012

Jak mogę fizycznie buchnąć Ci dane ?

Sporo osób sądzi że głównym wrogiem naszych danych cyfrowych, jest złośliwe oprogramowanie. Sporo także twierdzi, że przed kradzieżą/manipulacją tudzież podglądem naszych danych - obroni nas oprogramowanie antywirusowe.  Imho to jest podejście połowiczne, bowiem nie tylko cyfrowy dostęp może nam zagrozić... ;)

Nawet jak baaaardzo zniechęcimy napastnika bądź utrudnimy mu pracę przy ataku cyfrowym na nasze dane - to zawsze zostaje fizyczna możliwość buchnięcia (kradzieży) naszych danych. I śmiem twierdzić, że zdecydowanie łatwiej jest ukraść dane fizycznie, niźli zdalnie (cyfrowo, włamując się do systemu/sieci).

12/23/2012

Szyfruj dane i bądź bohaterem w swoim komputerze


Potencjalnemu użytkownikowi komputera (a konkretnie chodzi mi o zwykłych użytkowników komputera) – szyfrowanie kojarzy się z jakimiś strasznymi utrudnieniami i zaawansowanymi, niepotrzebnymi czynnościami. Wynika z niewiedzy, bowiem w dobie dzisiejszego ułatwiania wszelakich działań (szczególnie w systemach operacyjnych) – szyfrowanie danych również zostało znacznie ułatwione. Na szczęście dla tych co tak strasznie boją się tego ;)

W dzisiejszym prawie świątecznym wpisie, chciałbym krótko omówić istotę szyfrowania na przykładzie dwóch ważnych dla nas rzeczy:
  • Danych, które przetrzymujemy na dysku twardym,
  • A także haseł, które umożliwiają nam dostęp do informacji 
Obydwa przykłady, omówię na podstawie dwóch naprawdę, bardzo dobrych programów - TrueCrypt i KeePassX - które od dzisiaj powinny stać się jednymi z naszych najlepszych programów-przyjaciół, z którymi utrzymujemy kontakt codziennie ;)

12/11/2012

Mały słownik socjotechnika

http://helion.pl/okladki/326x466/artde2.jpg
Korzystając z dobrodziejstw "Sztuki Podstępu" autorstwa Kevina Mitnicka i Williama Simona - sporo już nabyłem podstawowej wiedzy nt. socjotechniki, czyli manipulacji ludźmi na własne potrzeby ;)
Sama książka ma w sobie naprawdę niezłe pokłady scenariuszy możliwych ataków APT, przez co najważniejszym jest ich dokładna analiza - przez to też, "Sztukę Podstępu" czytam już baaardzo długi czas (~2 lata) :>

Ostatnio wpadłem na pomysł, aby tworzyć notatki, opracowania, wpisy i inne formy przekazu wiedzy z merytorycznych i rzeczowych źródeł wiedzy. Nie dość, że potencjalny czytelnik będzie miał jakiś wyznacznik "zajebistości" danej książki, to jednocześnie sam będzie mógł stwierdzić na podstawie notatek - czy opłaca się kupić daną książkę, a przynajmniej będzie mógł spróbować zrealizować poznane w ksiażce scenariusze APT np. na cele polityki bezpieczeństwa ;>

Na początek, chciałbym stworzyć mały słownik pojęć socjotechnicznych z połączeniem kilku zbliżonych dziedzin IT (hacking, security, administrowanie etc.). Pojęcia, które tutaj są umieszczone - w stopniu 1:1 są skopiowane z książki. Zastrzegam jednak że pochodzą one z polskiego tłumaczenia, więc jakaś ewentualność niepoprawności (chociaż wątpię w takową) jest możliwa.

12/09/2012

Przechytrzyć Facebooka i Google+

http://business-english.pl/wp-content/uploads/2011/07/Facebook-vs-Google.jpg

Częstokroć, zdarza się że potrzebujemy poszerzyć naszą wiedzę na temat jakiejś osoby. Odnaleźć interesujące nas informację, albo po prostu zobaczyć kim jest osoba, która zainteresowała nas ciekawym wpisem, komentarzem lub czymkolwiek innym.

W dobie dzisiejszej popularności portali społecznościowych – researcher ma ułatwione zadanie, szczególnie wtedy gdy poszukiwana przez niego osoba – nie dba o swoja prywatność, poprzez nie blokowanie pewnych informacji o sobie (np. zdjęć).

Natomiast co zrobić, gdy taka osoba blokuje informacje o sobie, a także zastrzega widoczność swoich zdjęć tylko dla znajomych ? (punkt dla Niej ;>). Wtedy pozostaje wykonać pewną sztuczkę – nie jest może ona jakaś niesamowita, albo cudna – natomiast wystarczająca, by w pewnych przypadkach rozwiać wątpliwości, albo po prostu rozeznać się w sytuacji – czy aby na pewno to ta dziewczyna, której szukam ? ;>

12/08/2012

Wywiad z Mikko Hyppönenem

Jakiś czas temu, polecałem obejrzeć wystąpienie Mikko Hypponnena na TED, gdzie mówił o "Walce z wirusami w obronie Internetu". Mikko, który jest naprawdę cenionym specjalistą z dziedziny bezpieczeństwa komputerowego - świetnie przedstawił ideę obrony dzisiejszego Internetu. Subiektywną oceną, pokazał różnice mięczy "złymi", a "dobrymi" Hackerami.

W ostatnich dniach, trafiłem na wywiad właśnie z Mikko, który ukazał się 5 października na łamach Antyweb.pl.

Pozytywnie zaskoczony, od razu wziąłem się do czytania - no i śmiało moge polecić ten wywiad każdemu, nawet nie interesującymi się bezpieczeństwem komputerowym. Podoba mi się to w jaki sposób Hypponnen postrzega ideę swojej pracy, która jednocześnie jest jego pasją.

Na uwagę zasługuje także wyjaśnienie fenomenu Linuxa, a także jego opinia co do problemu prywatności w Internecie.

Plus dla Jana Rybczyńskiego (redaktora AW), za konkretne pytania i dobrze przeprowadzony wywiad na poziomie ;)

11/25/2012

"Cryptus" - podręczny prosty szyfrator

W ramach projektu semestralnego z programowania [C++] w szkole, stworzyłem podręczny prosty szyfrator danych. Tworzony z przymusu w Borland C++ (sic!), napisałem za pomocą gotowych implementacji popularnych algorytmów szyfrowania, które za zgodą autora zaimplementowałem na swoje potrzeby :)

Generalnie, program opiera się na szyfrowaniu i deszyfrowaniu wiadomości wpisanych lub pobranych przez użytkownika z pliku tekstowego - treści. Wszystko za pomocą algorytmów Cezara, ROT13, Dowolnego przesunięcia, AtBash albo XOR.

Program nie ma "zabezpieczać" owych informacji, bowiem powyższe algorytmy nie zapewniają dostatecznego poziomu bezpieczeństwa. Jest tylko formą zabawy dla początkujących kryptografów ;)

Do programu, dodatkowo zaimplementowałem Analizator Haseł mojego autorstwa. Kiedyś stworzyłem takowy również w C++, tyle że obsługiwany na poziomie konsoli.
Teraz zwiększyłem poziom amatorszczyzny ;p - program w sposób graficzny, za pomocą trzech kolorów ocenia budowę hasła, rozkładając je na czynniki (ilość dużych/małych liter, cyfr, znaków specjalnych i długości hasła) :)

Paczka programu, a także źródło dostępne jest tutaj w wersji beta.

11/20/2012

Dun, dun, dun...

Czemu tak cicho się zrobiło na blogu ?

Ano dlatego, że absorbują mnie sprawy takie jak:
  • matura (bzdura) - coraz więcej nauki, coraz mniej czasu :<
  • projekt z programowania - tworzę w Borlandzie C++ (sic!) program, który korzystając z popularnych algorytmów - będzie szyfrował i deszyfrował w locie tekst + do tego dorzucę pare innych algorytmów przydatnych i analizator haseł ;) (oczywiście dokumentacja i program, opublikuję w odpowiednim czasie na blogu ;)
  • parę tam swoich wyzwań z zakresu sec i admin mnie spotkało, przez co trochę mnie to zajęło ostatnio (o jednym problemie na pewno napiszę ;p)
  • no i aura późno jesienna, nie sprzyja mojej wenie do pisania ;>
Więcej grzechów nie pamię.... Postaram napisać coś praktycznego na dniach ;)

Póki co do miłego przeczytania ;)

11/04/2012

Jak dasz mi 100 Euro, to odblokuję Ci komputer

Znajomy napisał do mnie, z zapytaniem o pewną sytuację. Otóż, Jego rodzina mieszkająca na Węgrzech ma pewien problem. Nagle podczas użytkowania komputera,wyświetlił się komunikat zobowiązujący do zapłaty określonej kwoty (100 Euro), za "odblokowanie komputera używającego nielegalne oprogramowanie".

Czyli w skrócie - komunikat informuje iż policja namierzyła użytkownika za używanie nielegalnego oprogramowania i każe płacić karę w postaci 100 Euro - prawda że śmieszne? :)

Ale spokojnie, to tylko wirus, który można łatwo usunąć...

10/30/2012

10 zasad bezpieczeństwa


Ostatnimi dniami, zmierzając przez ogromy śniegu, skutecznie utrudniające przyjemny spacer do domu – myślałem nad kilkoma istotnymi sprawami.
Jedną z nich, było bezpieczeństwo komputerowe, a dokładniej rzecz ujmując – zastanawiło mnie jak uświadamiać ludzi o bezpieczeństwie komputerowym, aby to miało sens i pozytywny efekt ?
Rozważam różne pomysły, niektóre wymagające fizycznej działalności – czyli rozmawiania ze znajomymi, lub przemawiania i pokazywania slajdów. Inne ograniczające się do pisania na blogu, wpisów o bezpieczeństwie, tworzenia jakichś użytecznych skryptów i programów etc.

Ale wpadł mi też inny pomysł. Mianowicie, na sam początek postanowiłem spisać 10 moich zasad bezpieczeństwa, którymi staram się kierować.

10/26/2012

Jak ominąć zabezpieczenia dokumentu PDF ?

No właśnie ? Z takim pytaniem spotkałem się dzisiaj na IRCu. Generalnie, pierwsza myśl jaka mi wpadła do głowy - to zastosowanie inżynierii wstecznej wobec dokumentu. Ale to jest czynność dłuższa, i trzeba wiedzieć co i jak uderzyć. Był też pomysł: "txt to ocr, grafa- screen", ale dokument trzeba było zedytować.

Jednakże rozwiązanie jest inne, zdecydowanie mnie zaskakujące. Otóż, w celu złamania zabezpieczeń dokumentu PDF wystarczy... skorzystać ze strony internetowej.

pdfunlock.com/pl

Generalnie, zastanawiają mnie dwie rzeczy:
1. W jaki sposób te zabezpieczenia są łamane ?
2. Czy aby na pewno przesyłane przez tą stronę dokumenty są bezpieczne ;)

Jeśli uda mi się odpowiedzieć na te pytania, to zrobię update wpisu, póki co - jeśli dokumenty nie są "top secret", mamy gotowe i szybkie rozwiązanie :)

10/22/2012

Praca praca, a po pracy - coś się napisze ;)

Ostatnio w wolnych chwilach dostosowywałem szablon i kolorystykę bloga. Głównym założeniem było - przejrzystość, klarowność i jakiś tam swój urok. W tym tygodniu chwil jest mało, albowiem pomagam przy organizacji dwóch konferencji: PLNOG i JDD. Wszystkie mają miejsce w Krakowie. Fajna przygoda, sporo można się nauczyć i na pewno podejrzeć jak organizuje się konkretne i duże eventy IT ;


10/12/2012

Nie trzeba być mega hackerem żeby obrabować bank

Nie trzeba być mega hackerem albo mega adminem ażeby obrabować bank, włamać się do sieci szkolnej/uniwersyteckiej czy nawet firmowej. Nie trzeba także tworzyć własnego programu/skryptu, który wykorzysta popularne luki w systemie/sieci i uzyska dostęp do nich.

Więc co wystarczy ? Podstawowa wiedza, umiejętność obsługi popularnych programów stricte security i co ? A no i jeszcze trochę inteligencji oraz wyczucia. Wyczucia granicy ludzkiej głupoty.

10/11/2012

Geek i Nerd - subkultura ścisłych maniaków

Czas rozpocząć odkurzanie bloga. Zbiegło się to jednocześnie z małym wyróżnieniem mojego bloga na łamach Zaufanej Trzeciej Strony, co sprawiło że mam jeszcze większą motywację do działania :)

Tym razem jednak, chciałbym poruszyć lekki temat - z pewnością wielu osobom znany. Otóż, chciałbym omówić subkulturę "ścisłych maniaków". Ścisłych oczywiście z racji miłości do nauki ;> Wszystko na podstawie Geeka i Nerda.

W krótkiej prezentacji w Prezi (która de facto była zadaniem dodatkowym na WOS w szkole) - omówiłem etymologię nazwy, realia i podsumowania każdej postaci. Dodatkowo dodałem też parę groszy ode mnie :)

Oto link - prezi.com/fgvybofl5r8f/subkultura-geekow-i-nerdow/

Miłego oglądania.

5/31/2012

Confidence [relacja]


Jak już wcześniej pisałem, miałem przyjemność pomagać przy organizacji dosyć popularnego eventu w branży Security – konferencji Confidence.
Od wtorkowego południa do piątku w nocy, w pełni oddałem się do dyspozycji organizatorom konferencji. Choć spałem w sumie niecałe 15 godzin, to bardzo miło będę wspominał czas tam spędzony.
 Przede wszystkim zdobyłem sporo doświadczenia z zakresu organizacji i prowadzenia konferencji, ale oprócz tego – mogłem poznać mnóstwo ludzi z branży, a także poznać ludzi, których znałem tylko z nick-u na IRC-u ;)

5/17/2012

Confidence w Krakowie.

Trochę lochtcant's blog się zakurzył :>

Ale to tylko chwilowa przerwa, spowodowana przez stu procentowe skoncentrowanie się na zleceniach od pracodawcy podczas praktyk.

Natomiast w przyszłym tygodniu, będę miał niezwykłą przyjemność uczestniczyć w organizacji konferencji Confidence w Krakowie. Będzie to dla mnie okazja do zdobycia bardzo cennego doświadczenia, a także wysłuchania wielu niezwykłych ludzi z branży security :)

Na pewno skuszę się na napisanie jakiejś relacji z Confidence, a potem wrzucenie jej na bloga.

Do zobaczenia na Confidence !
Pzdr.

4/17/2012

Warte przeczytania...

Bothunters.pl, opublikował bardzo ciekawy "Wywiad z carderem – osobą wykorzystującą cudze karty kredytowe", na stronie dostępne są część 1. i część 2.
Naprawdę warto przeczytać - niektóre informacje są godne podziwu, aczkolwiek szkoda że (z wiadomych przyczyn) - tak mało dowiedzieliśmy się o kulisach pracy owego cardera :>

Generalnie, jeśli ktoś jest zaciekawiony takimi "rodzynkami", to polecam śledzić mój profil na Google+ - tam bardzo często dzielę się znalezionymi przeze mnie wartościowymi artykułami :)

4/15/2012

Analizator haseł v0.1 [C++]

W ramach doskonalenia skilla z programowania w C++, postanowiłem stworzyć coś użytecznego. Po krótkim przemyśleniu, postanowiłem skodzić analizator haseł.
Cały program, zbudowany został na funkcjach. Oblicza on według podanych wytycznych ilość punktów zdobytych za wpisane hasło. Pod ocenę brane są przede wszystkim - długość hasła i użyte znaki oraz ich ilość.

Skompilowany *.exe i kod źródłowy, dostępne są na serwerze.

Myślałem o stworzeniu artykułu, opisującego cały kod Analizatora. Mam nadzieję że w ciągu dwóch tygodnii uda mi się go stworzyć ;)

Pzdr.

4/06/2012

Praca w IT - fakty i mity

Tym razem, w ramach cyklu polecanych przeze mnie prezentacji/prelekcji - chciałbym zaproponować oglądnięcie dosyć krótkie, ale za to bardzo wartościowej prezentacji Jakuba Mrugalskiego (znanego bardziej jako Unknow z uw-team.org)
Owa prezentacja powinna być wyznacznikiem dla osób, które dopiero co rozpoczynają (bądź mają zamiar rozpocząć) pracę w IT (we wszelakim sektorze).
Prezentacji dostępna jest na portalu prezi.com.

Polecam obejrzeć - http://prezi.com/tqsnvthhcsbu/praca-w-it-fakty-i-mity/

3/25/2012

„Samouczenie jako podstawa Twojego sukcesu”

Bycie samoukiem brzmi, jak coś bardzo przyjemnego i wartościowego. Dzięki posiadanemu własnemu samozaparciu oraz odpowiedniej motywacji można nabyć mnóstwo adekwatnej do potrzeb wiedzy. „Samonauka” jest pewną formą indywidualizmu pozwalającą  w dość egoistyczny sposób nabywać oraz utrwalać wiedzę i praktyczne umiejętności. Dlaczego egoistyczny ? Spytajcie moich kolegów, kiedy próbują wyciągnąć mnie kolejny raz na piwo… ;p

3/24/2012

TKonferencja - 3 kwietnia w Krakowie

Miło mi poinformować, o zbliżającej się konferencji, którą mam przyjemność organizować.
"TKonferencja" odbędzie się 3 kwietnia 2012 w Zespole Szkół nr 1 w Krakowie.

Ze swoimi wykładami wystąpią - Gynvael Coldwind, Paweł Goleń, Jakub Mrugalski i Krzysztof Kotowicz.

Rejestrować się można na specjalnie utworzonej stronie, a wszelkie informacje uzyskacie na stronie konferencji - tkonferencja.tk.krakow.pl

Serdecznie zapraszam ;)

3/18/2012

"Hacking" ? Najpierw to przeczytaj...

„Kodeks karny - akt normatywny stanowiący zbiór przepisów regulujących odpowiedzialność karną obywateli danego państwa…”

Jak to wszystko ładnie brzmi, nieprawdaż ? Szkoda tylko że nie wszyscy pamiętają o istnieniu KK, a także o stosowaniu się do przepisów w nim ustalonych, ale to chyba norma... ;)
Postanowiłem więc poruszyć najważniejsze artykuły, które ściśle określają normy prawne dotyczące bezpieczeństwa informacji, danych, oprogramowania, systemu komputerowego.

3/11/2012

[prelekcja] - Misha Glenny: Wynajmijcie hakerów!

Niedzielnie, chciałbym polecić obejrzenie prelekcji autorstwa Misha Glenny "Wynajmijcie hakerów". (link niżej) Naprawdę warto obejrzeć ;)
Niestety, nadmiar obowiązków nie pozwolił mi spłodzić jakiegoś wpisu na bloga, dlatego też postaram się coś wrzucić na tygodniu.

3/04/2012

Zabezpieczenie i konfiguracja SSH

Dla pewnej odmiany, stworzyłem mini tabelę, która przedstawia podstawowe zabezpieczenia i konfigurację serwera SSH.
Jest to tylko podstawowe minimum, które warto by zastosować w naszym serwerze SSH.

Co i przed kim chronić ? Fundamentalne założenia polityki bezpieczeństwa

Zabezpieczanie, nie jest pojedynczą operacją, ale ciągłym procesem. Co przez to rozumieć ? Przede wszystkim to, że pojedyncza operacja (np. audyt bezpieczeństwa w firmie) – nie jest wystarczającym zabezpieczeniem, ale już systematycznie prowadzone audyty – tak.
To samo tyczy się norm i zasad prowadzonych w zakładzie pracy. Normy i zasady to nic innego jak polityka bezpieczeństwa, która jest opracowaniem skutecznych zabezpieczeń określonych zasobów przed zagrożeniami.
W tym wpisie, chciałbym przytoczyć fundamentalne założenia takowej polityki bezpieczeństwa, określić czym są zasoby, a czym zagrożenia. A na końcu, krótko omówić asymetrię bezpieczeństwa.

2/26/2012

Jedno imię kilka furtek na świat otworzy…

Często korzystasz z komputera w kafejce, pracy albo w szkole ? Czy dużo osób również korzysta z tego komputera ? No właśnie, tutaj zaczyna się problem.
Jak nie skasujesz pozostawionych przez Ciebie danych w przeglądarce – to mamy problem. Ów problem, chciałbym omówić, a dokładniej udowodnić – jak jedno imię potrafi otworzyć kilka furtek np. do poczty i konta na fejsbuku.

2/24/2012

[Prelekcja] - Walczenie z wirusami w obronie Internetu

Jedną z rzeczy jakie mam zamiar prowadzić czy udostępniać na łamach bloga - to ciekawe bądź przydatne prelekcje/wykłady/wystąpienia.

Na pierwszy rzut, chciałbym podzielić się zajebistą prezentacją Mikko Hyponnena - cenionego na całym świecie eksperta od bezpieczeństwa komputerowego. Dzisiaj związany jest z F-Secure. W krótkiej prelekcji opowie o walce z wirusami w obronie Internetu. Naprawdę, warto obejrzeć :)

2/21/2012

1st

Hmm... no to zaczynamy. Wszystko od nowa...

  • nick,
  • blog,
  • zainteresowania,
  • ścieżki, którymi trzeba podążać.

A więc czas na systematyczne i pełne zaangażowania blogowanie :>