Contribee - move fast and break things

2022 m. vasario 24 d. rusija įsiveržė į Ukrainą. Viso pasaulio žmonės aukojo pinigus įvairioms organizacijoms padedančioms ukrainiečiams. Tuo tarpu kontraversiškas Patreon sprendimas suspenduoti ne pelno siekiančią organizaciją “Come Back Alive” paskatino nemažai skaitmeninio tūrinio kūrėjų, bent jau Lietuvoje, persikelti į alternatyvią platformą Contribee. Aš, kaip ir kiti prenumeratoriai, užsiregistravau šiame puslapyje. Tačiau greitas platformos testas parodė, kad ji gali turėti saugumo spragų.

»

Kas skaito VŽ slapukus?

Atsitik tu man taip, kad naršydamas Verslo Žinias (VŽ) paspaudžiau “uždraustą mygtuką” F12. Dėmesį patraukė ilgas slapukų sąrašas:

»

Registrų centras GoSign app vulnerabilities

After reading an article about a remediated information disclosure vulnerability in GoSign - an e-signature desktop application by the State Enterprise Centre of Registers of Lithuania (Registrų centras), I became curious whether it is vulnerable to the other attack - DNS rebinding. In this blog post I’ll review what I’ve found and what was fixed.

»

Nemokamų registracijos sistemų saugumas

Šiandien išėjo 15min straipsnis “Žmonės suskubo padėti COVID-19 smūgį patyrusioms kavinėms ir barams: kuria sistemas nemokamai”. Iniciatyva išties šauni, tik kiek keista, kad abi išvardintos ir kitos man žinomos “nemokamos” sistemos nėra atviro kodo. Restreg.lt kūrėjo Facebook’e išplatintas “manifestas” skelbia, kad “Restreg.lt sistemoje nėra reklamų , 3-iųjų šalių programų, socialinių tinklų sekimo programų”.

»

(Ne)atsakingas atskleidimas - 2-oji dalis

2019 metais Lietuvoje buvo apklausta 50 įvairaus dydžio įmonių. Dauguma palaikė atsakingo spragų atskleidimo reglamentavimą.

»

(Ne)atsakingas atskleidimas - 1-oji dalis

"Žmonės, kurie niekada gyvenime neatskleidinėjo saugumo spragų, turi „įdomiausių“ nuomonių apie tai kaip tai teisinga daryti." Thomas H. Ptacek, Matasano


"Aš sutinku kalbėtis apie „atsakingą atskleidimą“ kai mes pradėsim kalbėtis apie neatsakingą (nesantį) saugumo kokybės užtikrinimą iš gamintojo pusės." Thomas Dullien, Google Project Zero
»

HTTP Header Enrichment (pen)testing tutorial

Since I believe the issue I wrote previously about is not limited to Lithuania, but I physically cannot check all mobile operators in the world I decided to write a short tutorial you can follow to check the situation in your country.

»

Tele2 savitarnos autorizacijos apėjimas

Visi mobiliojo ryšio operatoriai turi savitarnos svetaines. Naujas vartotojas registraciją gali patvirtinti įvedęs kodą atsiųsta SMS žinute ir susikurti slaptažodį kitiems prisijungimams. Taip pat besijungiant yra galimybė naudoti mobilųjį parašą.

»

Authenticode verification vulnerability pattern

There is a common vulnerability pattern in various implementations of authenticode signature verification in .NET. It was found multiple times in different products in the past and I have seen it myself during security audits.

»

Privacy leaks in mobile internet era

tl;dr: Ignorance of security issues by mobile operator partners leaks your phone number to malicious websites. Misconfigurations of mobile operators allow tracking you worldwide.
Try it yourself - Proof of Concept.

»