Sadaļas arhīvs: Drošība

Apple iOS sistēmas drošības principi

Iespējams, ka saistībā ar neseno slavenību kailfoto nopludināšanu internetos, kas tika sasaistīta ar Apple iCloud, ir pastiprināta interese par drošību Apple ierīcēs un servisos. Šodien pamanīju Hacker News saiti uz Apple iOS sistēmas drošības dokumentāciju (PDF).

Apple files

Labā ziņa, ka šajā dokumentā bija dažas ilustrācijas par procesiem, kas tur notiek, sliktā, ka to bija pārāk maz, lai izveidotu galeriju. Principā dokuments ir garlaicīgs un satur daudz teksta – var noderēt reizēs, kad nenāk miegs. 🙂

Lasīt tālāk

Backblaze cieto disku uzticamības indekss

Ir tāds kantoris Backblaze (partnera saite), kas par mazām naudiņām piedāvā izveidot rezerves kopijas no visa tava datora cietā diska satura par nieka $5/mēnesī. Pieņemu, ka viņi pamatā rēķinās ar tipisko ierindas lietotāju, kura datorā nav sasprausti 10 diski ar 8TB ietilpību katrs. 🙂

Tādu piedāvājumu spēj piedāvāt pateicoties zemākām infrastruktūras izmaksām, jo izmanto pašbūvētus disku masīvus, kuros liek iekšā daudz maz lētus standarta diskus. Viņi taču nodrošina tikai rezerves kopijas, nevis ātrus un dārgus diska masīvus, kuriem jāapkalpo noslogotas mājaslapas.

Man patika šī ilustrācija ar salīdzinājumu.

Pod 2.0 cost of a petabyte

Protams, šobrīd jau ir izauguši un samazinājuši jau tā salīdzinoši zemās izmaksas.

Lasīt tālāk

Krievu hakeriem var būt arī tava e-pasta parole no Google.com, Mail.ru vai Yandex.ru

Ja iepriekšējo reizi, kad internetos parādījās ziņa par to, ka krievu hakeriem ir virs 500 miljoniem lietotāju paroles, varēja šaubīties, tad šoreiz tam ir arī taustāmi pierādījumi.

Google epastiVar lejupielādēt sarakstu ar Google e-pasta adresēm (aptuveni 28MiB liels arhīvs) un pārliecināties vai tava e-pasta adrese nav tajā sarakstā.

Lasīt tālāk

Hakeri uzlauzuši Apple iCloud un izplata slavenību kailfoto

Šodien notikumiem bagāta diena. Viena no tām ir par to, ka hakeri it kā ir uzlauzuši Apple iCloud mākoņu datu glabātuves un no turienes izzaguši slavenību datus. Šobrīd slavenību kailfoto klejo internetos.

Internetā nopludinātas neskaitāmas šovbiznesa zvaigžņu pikantas fotogrāfijas, un šoreiz cietušo vidū ir tādas slavenības kā Kērstina Dansta, Keita Aptona, Arianna Grande, Selēna Gomesa, Teilore Svifta un daudzas citas.

Kā raksta 9to5mac.com, tad pie vainas varētu būs serviss Find My iPhone caur kuru bija iespējams minēt paroles bez ierobežojumiem.

The vulnerability allegedly discovered in the Find my iPhone service appears to have allowed attackers to use this method to guess passwords repeatedly without any sort of lockout or alert to the target. Once the password has been eventually matched, the attacker can then use it to access other iCloud functions freely.

Apple patched the service at 3.20am PT today. While it’s possible that the timing was coincidental, an iCloud exploit being posted online just two days before the photos appeared, and being patched shortly after the story broke, makes this seem unlikely. Apple has not yet responded to a request for comment.

It’s worth noting that the vulnerability did not allow access to iCloud passwords, it only permitted repeated guesses or an automated dictionary attack. In order for it to succeed, relatively weak passwords would need to have been used on the accounts accessed.

Iekš Hacker News ir nopublicēts AppleID password bruteforce proof-of-concept.

Pagaidām gan nav apstiprinājumu, ka tas bija patiesais caurums.

Papildināts

Apple nāca klajā ar paziņojumu, ka pēc 40h izmeklēšanas ir secinājuši, ka sistēmas nav uzlauztas, bet atsevišķu lietotāju kontiem ir veikti mērķtiecīgi uzbrukumi.

After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet,” the statement read.

“None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.”

Hakeriem no Krievijas ir tavas paroles

Pēc nesenajiem pārdzīvojumiem ar caurumu OpenSSL kriptogrāfijas programmatūrā, kas ieguva nosaukumu Heartbleed Bug, The New York Times raksta par jaunām šausmām.

By July, criminals were able to collect 4.5 billion records — each a user name and password — though many overlapped. After sorting through the data, Hold Security found that 1.2 billion of those records were unique. Because people tend to use multiple emails, they filtered further and found that the criminals’ database included about 542 million unique email addresses.

Citiem vārdiem sakot – visticamāk, ka kāda no tavām parolēm tagad ir pie krievu hakeriem. Samierinies ar to un nomaini svarīgās paroles uz kaut ko citu.

Like many people, your first question is probably whether or not you were included in that dragnet. Hold Security, the Milwaukee-based security firm that uncovered the hack, says you can fork over $120 for an annual subscription to find out in the next 60 days if you were affected. The opportunistic move cast doubt on initial reports of the breach, but prominent cybersecurity experts have confirmed them to be accurate.

At this point, you should just assume you were hacked.

According to the security firm, the so-called CyberVor gang collected more than 4.5 billion records, and about 1.2 billion “appear to be unique.” There are about 2.9 billion Internet users worldwide, so considering the scope of the breach, chances are CyberVor has yours.

Es ticu, ka 2 faktoru autentifikācijai ir nākotne, jo visas paroļu glabātuves var uzlauzt. Nevar uzlauzt tikai tās, kas nav pieslēgtas pie tīkla. Es domāju elektrības. 😉

Uzskrēju rakstam iekš TechCrunch.

Kā lasīt Zvaigzne ABC e-grāmatas savā iPad, Android, Kindle vai citā elektroniskā ierīcē

Šajā rakstā es pastāstīšu par principu kā var lasīt Zvaigzne ABC mājaslapā nopirktās elektroniskās grāmatas gandrīz jebkurā elektroniskā ierīcē. Tā var būt Apple iPad, iPhone, Amazone Kindle vai kāda no Android bāzētām ierīcēm. Praktiski jebkura ierīce, kas prot lasīt ePub vai FB2 formātu. Patiesībā šis princips attiecas ne tikai uz Zvaigzne ABC veikalā pirkto elektronisko grāmatu, bet jebkuru interneta grāmatnīcu, kas izmanto Adobe ID jeb Adobe Digital Editions (Adobe DE) programmatūru un viņu aizsardzības mehānismu.

Šis paņēmiens NEnodrošina iespēju NElegāli piekļūt saturam par kuru nav samaksāts.

Šo rakstu es sadalīju divās daļās – pirmajā daļā ir neliela liriska atkāpe par šo situāciju ar autortiesībām un to aizsardzību kopumā (par morāli ētiskiem apsvērumiem), bet otrajā daļā ir tīri tehniskais skaidrojums un pamācība. Tā kā, ja esi ticis galā ar savu sirdsapziņu, tad droši vari doties pie tehniskās daļas.

Lasīt tālāk

VISA un MasterCard bano VPN servisus

TorrentFreak raksta, ka VISA un MasterCard turpmāk banos VPN pakalpjumu sniedzējus, liedzot tiem saņemt maksājumus ar kredītkartēm par pakalpojumiem, kas ļauj lietotājiem slēpties aiz anonīmajām IP adresēm. Vēl viens solis ceļā uz cilvēku anonimitātes samazināšanu internetā.

Following the introduction of restrictions against file-sharing services, Mastercard and Visa have now started to take action against VPN providers. This week, Swedish payment provider Payson cut access to anonymizing services after being ordered to do so by the credit card companies. VPN provider iPredator is one of the affected customers and founder Peter Sunde says that they are considering legal action to get the service unblocked.

Tas nav nedz labi, nedz slikti – tas vienkārši tā ir.

Iz Twittera dzīlēm.

Papildināts

Paldies kgb par norādi uz būtisku kļūdu, kas maina raksta būtību.

Nopludināti iOS ierīču lietotāju dati

Pirms pāris mēnešiem dabūjām trūkties, kad parādījās informācija par LinkedIn lietotāju parolēm, kas tika publicētas internetā. Šodien nākamais sitiens, nu jau iOS ierīču lietotājiem.

Vismaz 1miljonam no 12 miljoniem lietotāju, kuru dati tika nopludināti.

there you have. 1,000,001 Apple Devices UDIDs linking to their users and their APNS tokens.
the original file contained around 12,000,000 devices. we decided a million would be enough to release.
we trimmed out other personal data as, full names, cell numbers, addresses, zipcodes, etc.
not all devices have the same amount of personal data linked. some devices contained lot of info.
others no more than zipcodes or almost anything. we left those main columns we consider enough to help a significant amount of users to look if their devices are listed there or not. the DevTokens are included for those mobile hackers who could figure out some use from the dataset.

Kā viņi tika pie šiem datiem.

During the second week of March 2012, a Dell Vostro notebook, used by Supervisor Special Agent Christopher K. Stangl from FBI Regional Cyber Action Team and New York FBI Office Evidence Response Team was breached using the AtomicReferenceArray vulnerability on Java, during the shell session some files were downloaded from his Desktop folder one of them with the name of “NCFTA_iOS_devices_intel.csv” turned to be a list of 12,367,232 Apple iOS devices including Unique Device Identifiers (UDID), user names, name of device, type of device, Apple Push Notification Service tokens, zipcodes, cellphone numbers, addresses, etc. the personal details fields referring to people appears many times empty leaving the whole list incompleted on many parts. no other file on the same folder makes mention about this list or its purpose.

Kāpēc tika publicēti šie dati.

why exposing this personal data?
well we have learnt it seems quite clear nobody pays attention if you just come and say ‘hey, FBI is using your device details and info and who the fuck knows what the hell are they experimenting with that’, well sorry, but nobody will care.

FBI will, as usual, deny or ignore this uncomfortable thingie and everybody will forget the whole thing at amazing speed. so next option, we could have released mail and a very small extract of the data. some people would eventually pick up the issue but well, lets be honest, that will be ephemeral too.

So without even being sure if the current choice will guarantee that people will pay attention to this fucking shouted ‘FUCKING FBI IS USING YOUR DEVICE INFO FOR A TRACKING PEOPLE PROJECT OR SOME
SHIT’ well at least it seems our best bet, and even in this case we will probably see their damage control teams going hard lobbying media with bullshits to discredit this, but well, whatever, at least we tried and
eventually, looking at the massive number of devices concerned, someone should care about it. Also we think it’s the right moment to release this knowing that Apple is looking for alternatives for those UDID currently and since a while blocked axx to it, but well, in this case it’s too late for those concerned owners on the list. we always thought it was a really bad idea. that hardware coded IDs for devices concept should be erradicated from any device on the market in the future.

Kā var pārbaudīt vai neesi sarakstā?

Lasīt tālāk

Nopludinātas Linkedin sociālā tīkla paroles

Internetā parādījušās ziņas par to, ka hakeri ir nopludinājuši sociālā tīkla LinkedIn paroles kontrolsummu, kas ir uzģenerēta ar vāju kriptogrāfisko kontrolsummas ģenerēšanas algoritmu SHA-1. Tas nozīmē, ka ar pietiekamiem datoru resursiem var iegūt šo paroli un izmantot nekrietniem mērķiem.

Nopludinātas apēram 6.5 miljonu paroļu. Diezgan iespaidīgi. Ieteicams ir nomainīt savu veco LinkedIn paroli ar citu, kamēr šo paroli vēl nav sākušas izmantot kādas citas personas.

Kādi citi braši puiši ir ātri izveidojuši vienkāršu lapiņu ar kuras palīdzību var pārbaudīt vai tava LinkedIn parole ir nopludināta, vai nē. Es pārbaudīju un redz, ko ieraudzīju – LeakedIn.org. Pēc tam manuāli salīdzināju ar SHA-1 nopludinātās datubāzes saturu un arī atradu savas paroles kontrolsummu.

Puiši apgalvo, ka viņi pārbauda tikai paroles kontrolsummu, kuru uzģenerē ar JavaScript palīdzību tavā datorā un tad pie “Check” nospiešanas uz serveri nosūta tikai šo nesaprotamo simbolu virkni. Apskatījos kodu un izskatījās tīrs.

Ejam uz LinkedIn lapas Settings un spiežam uz pogas Password Change.

Bet par pašu LinkedIn paroļu noplūšanu var palasīt dažādos resursos.

Habrahabr.ru ar saitēm uz pirmavotiem un bildīti no foruma, kurā bija nopublicēti atkodētās paroles. BusinessInsider, TheNextWeb ar brīdinājumu mainīt paroli tūlīt. LinkedIn paši kaut kā aplinkus motivē lietotājus mainīt paroles, te ir viņu bloga ieraksts par to kā labāk izvēlēties paroli.

Kā izskatās fotogrāfija no fotoradara?

Lai arī fotoradari jau kādu laiku ir salikti uz mūsu ielām, tomēr es kaut kā laimīgā kārtā esmu veiksmīgi palicis nepamanīts un nenobildēts. Knaģis savā blogā ir nopublicējis pirmo apsveikumu no fotoradara. Viņam ir vairāk paveicies, ja to var nosaukt par veiksmi. 😉

Fotoradari tiešām strādā – šodien saņēmu e-pastu par savu pirmo grūtā darbā nopelnīto sodu 10 latu vērtībā. Pārkāpuma datums 20. decembris, protokols sastādīts 4. janvārī, e-pasts nosūtīts 6. janvārī.

Ja es pareizi esmu sapratis, tad sejas tiek speciāli aizmālētas, lai pārkāpēji neskrietu uz tiesu un nestāstītu, ka tas nav viņš, kas pie stūres, pareizi?

Cepuri nost – CSDD kā vienmēr līmenī. PDF versija ir pieejama viņu portāla e-pakalpojumu sadaļā.