why-need-img-1

Bardziej bezpieczne konto Google

0

Kradzież Twojego hasła jest łatwiejsza niż myślisz

Każda tych często popularnych czynności naraża Cię na kradzież hasła:

  • Używanie tego samego hasła w więcej niż jednej witrynie
  • Pobieranie programów z internetu
  • Klikanie linków w e-mailach

Cały ogrom facebook’owych wtop znajomych i przyjaciół w kwestiach bezpieczeństwa swoich danych przekonał mnie, że kradzież hasła, tym bardziej w celowym ataku na konkretną osobę nie jest trudny. Ciekawe jest to, że bardzo często najbardziej skutecznymi metodami jest socjotechnika.

Jedynie rozwijanie systemów zabezpieczeń ze strony IT poprzez zmuszanie użytkowników do pewnych zachowań ma szansę na ustabilizowanie poziomu bezpieczeństwa w Internecie.

Ja ze swojej strony dodam tylko jeden ciekawy “case”, który mam nadzieję dotrze do osób, które nie troszczą się o swoje prywatne dane. Używasz Android’a? Połączyłeś go z kontem Google? Super. Co powiesz na taki scenariusz?

  1. Ktoś kradnie Twoje hasło do Gmaila przy użyciu keylogger’a zainstalowanego na uczelnianym komputerze
  2. Po przeczytaniu Twoich maili dowiedział się, gdzie trzymasz swoje oszczędności, jaki masz PESEL, a ze skanu jakichś dokumentów zna nazwisko panieńskie Twojej matki
  3. Dzwoni do Banku podając się za Ciebie i odpowiadają na kilka pytań, resetuje hasło dostępu do Banku
  4. Przy pomocy Google Play, zdalnie instaluje aplikacje na Twoim telefonie, w tym jedna z nich może czytać Twoje SMS’y
  5. Zleca przelewy na Twoim rachunku bankowym używając przy tym kodów z jednorazowych haseł SMS wysyłanych na Twój telefon
  6. Pozostaje nadzieja, że nie zaciągnie pożyczki przez Internet na Twoim koncie bankowym

A Ty jak dużo masz do stracenia?


 

Weryfikacja dwuetapowa Google:

https://www.google.com/intl/pl/landing/2step/index.html

Brak backupu = Problem

0

Kiedy blog startował w grudniu 2007 roku na Jogger.pl, nieodłącznie towarzyszył mi problem udostępniania danych na blogu. Jogger niestety hostował wtedy (a być może tak jest do dzisiaj) tylko tekst postów, layout i mechanizm działania. Wszystkie dodatkowe grafiki, pliki PDF, ZIP należało trzymać na zewnętrznych serwerach. I tak właśnie robiłem, przetrzymując wszystkie dane na serwerach firmy Vectra. Podczas migracji z Joggera na WordPress, nie przenosiłem już tych plików, bo musiałbym modyfikować wszystkie ścieżki we wszystkich postach. Pliki leżały sobie tam ładne 7 lat i nikomu to nie przeszkadzało. Pliki na serwerze FTP były hostowane przez firmę Vectra w ramach darmowego konta WWW, dodawanego do “kablówki” TV+Internet. Faktycznie umowa była modyfikowana w trakcie tych 7 lat, a ja jakoś tego nie skojarzyłem. I tak pewnego dnia, firma stwierdziła, że ma podstawę do usunięcia tego konta i tak się stało. Mnie pozostało szukanie danych i ewentualnego backupu tych danych na starych komputerach i dyskach. Kilka postów niestety musiało wylądować w koszu, ale trochę udało się też zachować. Taka tam, nauczka na przyszłość.

Asterisk logo

Asterisk – zainstaluj, skonfiguruj, dzwoń

2

To co chcę Wam dać w tym artykule, to prosta instrukcja, która krok po kroku poporowadzi Cię od instalacji, przez konfigurację, do zestawienia pierwszego połączenia telefonicznego przy użyciu software’owej centralki telefonicznej Asterisk PBX. Założenia? Proof of Concept rozwiązania, a więc ma być szybko.
(more…)

2Przechwytywanie

WordPress i SyntaxHighlighter

3


Dawno mnie tu nie było. Ciężej skleić kilka sensownych zdań. Mnóstwo postów za mną, w których już sam nie pamiętam o czym pisałem. Zamierzam wrócić do aktywnego blogowania. Jak wyjdzie, zobaczymy,
So, let’s go! ;)póki co motywacja jest. Wrzucam więc, krótkiego posta na rozgrzewkę. (more…)

Bank-milenium-logo-150x150

Millennium – IT Expert Start Up

1

Przygoda z programem IT Expert Start UP w Banku Millennium dobiegła końca. Doczekałem się nawet publikacji mojej “notki feedback’owej” na stronie Banku Millennium.

Źródło: http://www.bankmillennium.pl/pl/o-banku/kariera/program-rozwoju-ekspertow/it-expert-start-up/wypowiedzi-praktykantow/ [22.02.2012]
 
 

Moja przygoda z Bankiem Millennium zaczęła się 18 kwietnia 2011 roku, kiedy to dostałem wiadomość od Zespołu Rekrutacji i Rozwoju z informacją o ogłoszeniach rekrutacyjnych. Ze strony internetowej Banku dowiedziałem się, na jakich zasadach działa program Expert Start Up oraz jakie zadania czekają jego uczestników. Jak dotąd, wszystkie wyzwania związane z branżą IT, które podejmowałem w życiu uczelnianym oraz zawodowym, kończyły się sukcesem. Pomyślałem więc, że czas na kolejne, trudniejsze. Chciałem sprawdzić swoją wiedzę, doświadczenie i opanowanie. Bank Millennium mi to umożliwił.

 

Wypełniłem formularz, wysłałem CV i tak rozpoczął się kilkuetapowy proces rekrutacji, który na bieżąco monitorowany był przez kompetentnych pracowników Banku. Teraz mogę powiedzieć, że sam proces rekrutacji w dużej mierze pokazuje kandydatowi, jakie wyzwania czekają pracowników Banku każdego dnia. Awans do kolejnych etapów, pomijając niesamowitą satysfakcję, pozwala także na znalezienie odpowiedzi na pytanie, czy to jest to, czym chciałbym zajmować się w życiu zawodowym.

 

Udało się! Rozpocząłem pracę w Banku Millennium. Tak jak wszyscy uczestnicy programu IT Expert Start Up zapoznałem się nie tylko z działaniami departamentu, w którym będę pracować, lecz także z organizacją całego banku. O bezproblemowe wdrożenie do pracy dbają opiekunowie programu rozwoju pracowników. Swoją pracę rozpocząłem w polsko-portugalskim zespole IT, który od samego początku przyjął mnie jako pełnoprawnego developera – członka zespołu. Postawiono przede mną realne zadania, którymi aktualnie zajmowali się programiści, a moja praca stanowiła wkład we wspólny wysiłek całego zespołu. To wszystko pod okiem mentora – dyrektora jednostki, który, odpowiednio mnie ukierunkowując, wspierał mój rozwój. Muszę także podkreślić, że program ten dał mi również szansę pogłębienia kompetencji analityka biznesowego w obszarze IT. Brałem udział w wielu spotkaniach, w których mój głos liczył się na równi z innymi, a niektóre z moich propozycji rozwoju bankowości elektronicznej zostały zaaprobowane do wdrożenia.

 

Podczas siedmiu miesięcy pracy w Departamencie Rozwoju Aplikacji zdobyłem ogromną wiedzę i doświadczenie, którą z przyjemnością wykorzystam w dalszej współpracy już jako etatowy pracownik Banku Millennium.

ITA_logo

Biuletyn IAiR Nr 29/2010 dostępny!

0

Nareszcie ukazał się również w wersji elektronicznej! Długo wyczekiwany przeze mnie Biuletyn IAiR 29/2010 jest już dostępny na stronach internetowych Instytutu Teleinformatyki i Automatyki WAT.

 

Dlaczego akurat ten numer jest dla mnie wyjątkowy? Zapraszam do lektury dwóch ciekawych artykułów zredagowanych przeze mnie oraz Piotra Litwniuka we współpracy z dr inż. Janem Chudzikiewiczem.

 

  • Projekt scentralizowanego, internetowego systemu rejestracji użytkowników [podgląd] [mirror]
    Piotr Kwiatek, Jan Chudzikiewicz;
    Streszczenie: W artykule przedstawiono opis projektu oraz implementacji systemu rejestracji użytkowników w serwisie internetowym. Omówiono ideę zastosowania systemu jako scentralizowanego punktu uwierzytelniania i autoryzacji użytkowników w Internecie, a także aspekty bezpieczeństwa z tym związane. Przedstawiono przykład wdrożenia opracowanegorozwiązania.
  • System Wspomagania Pracy Nauczyciela [mirror]
    Piotr Litwiniuk, Jan Chudzikiewicz;
    Streszczenie: W artykule przedstawiono opis projektu oraz implementacji aplikacjiwspomagającej pracę nauczyciela. Zdefiniowano wymagania funkcjonalne i niefunkcjonalne nakładane na system. Zaprezentowano diagramy interakcji wybranych przypadków użycia w notacjiUML. Przedstawiono współpracę z zewnętrznymi, w stosunku do omawianego, systemami (SRU, SZZD) poprzez mechanizm Web Services. Omówiono wybrane rozwiązania implementacyjnewykorzystane w projektowanym systemie.

 

 

Oracle VirtualBox

Porównanie VMware Server z Oracle VirtualBox

1

 

Projekt porównania produktu VMware Server z Oracle VirtualBox powstał w ramach przedmiotu Wirtualizacja Systemów IT na WAT. W ramach niniejszego sprawozdania zawarłem najważniejsze zagadnienia związane z porównywanymi środowiskami wirtualizacji, wyniki przeprowadzonych testów, wnioski z nich wynikające oraz subiektywne uwagi. Na podstawie dokumentacji VMware Server 2.0.2 oraz Oracle VirtualBox sporządziłem zestawienie porównawcze funkcji oferowanych przez obu hypervisor-ów (VMM).

Projekt spotkał się z zainteresowaniem prowadzącego przedmiot, dlatego podbudowany tym faktem postanowiłem go opublikować. ;-)

Atak metodą brute-force przy użyciu THC-HYDRA

2

Artykuł przygotowany w ramach Studium Ataków i Incydentów na WAT, co tłumaczy również format w jakim powstał. W sprawozdaniu relacjonuję przebieg rekonesansu i sposób przeprowadzenia ataku metodą słownikową brute-force. Swoją drogą bardzo spodobało mi się znalezione na stronie Wikipedii pod hasłem “Atak brute-force” zdanie:

“Jest to zwykle nieoptymalna, ale najprostsza do zaimplementowania i najbardziej skuteczna metoda postępowania (ponieważ teoretycznie pozwala ona złamać każde hasło – praktycznie może to potrwać nawet tysiące i miliony lat).”

Nieoptymalna, bo właśnie może bardzo długo trwać. Najprostsza, bo wystarczy wskazać, gdzie “wklepywać” kolejne pary poświadczeń w nadziei na pomyślną autoryzację dostępu. I tutaj najlepsze. Jest to metoda najbardziej skuteczna. Nawet gdyby miało to trwać miliony lat, nadal jest to skuteczna metoda ;-) Prawie jak granice w matematyce. Wartość funkcji nawet przy niewyobrażalnie dużym parametrze do swojej granicy nie dobrnie, jednak przy parametrze dążącym do nieskończoności i owszem. Do artykułu odsyłam na docs.google.com lub wersji PDF do pobrania:

  • Atak metodą słownikową (brute force) przy użyciu THC-HYDRA [pobierz] [podgląd]
WAT logo

Nowe projekty opublikowane!

0

Owocne dni dla zasobów mojego bloga.

Najpierw publikacja projektu Carousel Configuration Manager (CCM). Projekt budowany na raty od października br., w końcu ukończony i wdrożony. Od kilku dni dostępny także dla Was, za darmo!

Dzisiaj publikacja Systemu Rejestracji Użytkowników (SRU). Projekt stworzony w ramach mojej inżynierskiej pracy dyplomowej prawie rok temu. Nie planowałem jego publikacji, jednak z niecierpliwością zacząłem wyczekiwać zgody na publikację dopiero od kilku tygodni, kiedy praca została oficjalnie wyróżniona w konkursie dziekana na najlepszą pracę dyplomową w roku akademickim 2009/2010.

Zachęcam i zapraszam! ;-)

filezilla-icon

Filezilla Client – tryb ASCII dla plików bez rozszerzenia

1

Bezpieczna praca z Filezilla Client – tak, ale po przeczytaniu tego artykułu

W innym przypadku, używając domyślnych ustawień znanego klienta FTP Filezilla Client część plików w Twojej kopii zapasowej może zostać uszkodzona. Działa to w obie strony. Przy wysyłaniu plików na serwer FTP oraz pobieraniu. Kilkakrotnie robiłem już kopie zapasowe firmowych serwerów FTP wykorzystując tego popularnego klienta i aż strach pomyśleć ile z tych kopii zapasowych nie zachowała swojej integralności. Kiedy dokładnie powstaje problem? Najczęściej wtedy, kiedy plik binarny nie posiada rozszerzenia. Filezilla Client w swojej domyślnej konfiguracji używa trybu ASCII dla plików bez rozszerzenia. O problemie wspomniał już prawie 2 lata temu internauta ~alkis na stronach projektu filezilla (http://trac.filezilla-project.org/ticket/4235) jednak nie wiedzieć czemu na dzień dzisiejszy wersja 3.3.5.1 ciągle stosuje tryb ASCII dla plików bez rozszerzeń “default-owo” i nadal o tym jest cicho. Wysyłając plik moj_obrazek_z_wakacji na serwer FTP w trybie ASCII (a tak się dzieje, kiedy plik nie posiada rozszerzenia) można zauważyć, że po zakończonym transferze plik lokalny i plik zdalny różnią się rozmiarem. Okazuje się, że grafika na serwerze FTP jest w najlepszym wypadku nieczytelna, a z reguły uszkodzona całkowicie. W przypadku, gdy mamy do czynienia z działającą aplikacją webową i chcemy skopiować jej zasoby via FTP, kto wie, jakie pliki wysłał na serwer użytkownik forum, CMS czy CRM. Autor raportu błędu udzielający się na stronach filezilla-project.org podał jeszcze dwa ciekawe przypadki, kiedy Filezilla Client nas zawiedzie. (more…)

Go to Top