Kopiowanie danych z karty SD na dysk twardy bez użycia komputera

W niniejszym tekście opiszę, jak przenosić zdjęcia i filmy z karty SD na przenośny dysk twardy bez użycia komputera. Pozwala to na wygodne backupowanie i archiwizację mediów na wakacjach, wycieczce lub w innych sytuacjach, w których noszenie laptopa byłoby niewygodne lub narażało go na uszkodzenie.

Pomysł opiera się na spostrzeżeniu, że nowoczesne telefony z Androidem mają złącze USB 3.1 o przepustowości dziesiątek megabajtów na sekundę. Są też wyposażone w kontroler USB (tzw. host mode, inaczej USB-OTG), co oznacza, że mogą kontrolować urządzenia peryferyjne takie jak czytnik kart czy dysk.

Czytaj dalej Kopiowanie danych z karty SD na dysk twardy bez użycia komputera

Billon czyli gigantyczny koszt shackowania (część 2)

Tu znajdziesz część I artykułu.

To jest część druga, która została napisana miesiąc po części pierwszej. Obie są publikowane jednocześnie.

Wstęp

Zanim przystąpiłem do spisywania pierwszej części niniejszego tekstu, przeczytałem i wysłuchałem o Billonie prawie wszystko, co było do przeczytania w internecie i prasie oraz do wysłuchania w wywiadach. Dużo słów, mało konkretów, tymczasem podczas testów uzbierała się pokaźna lista pytań. Postanowiłem wysłać je przedstawicielom spółki.

Czytaj dalej Billon czyli gigantyczny koszt shackowania (część 2)

Billon czyli gigantyczny koszt shackowania (część 1)

Do pisania niniejszego tekstu siadam z przekory. A było to tak.

Jakiś czas temu zainteresowałem się kryptowalutami i blockchainem, zacząłem dużo czytać o technicznych aspektach obu tych tematów. Gdzieś mignął mi news o Billonie czyli polskim startupie finansowym, który otrzymał duży unijny grant na rozwój systemu płatności opartego o rozproszony rejestr. Znalazłem kilka artykułów i wywiadów z przedstawicielami projektu, w jednym z nich odnajdując następujący cytat: “[…] technologia jest naprawdę bezpieczna. Nie do złamania. […] koszt shakowania czegokolwiek w Billonie jest tak gigantyczny, że nikomu by się to nie opłacało.” (BusinessInsider). No i tu właśnie włączyła mi się przekora. Rok temu zbadałem aplikacje mobilne wydane przez polskie banki i odnalazłem w nich szereg poważnych błędów, na własne oczy przekonując się, że autorzy aplikacji mają naprawdę trudne zadanie – pełne bezpieczeństwo to konieczność zrobienia setek rzeczy dobrze. Z kolei włamywaczowi często wystarczy znalezienie pojedynczej rzeczy, która została zrobiona źle, by naruszyć bezpieczeństwo całego systemu.

Postanowiłem więc przyjrzeć się aplikacji Billon dla systemu Android i sprawdzić, czy szumne zapowiedzi przekładają się na nieskazitelną jakość produktu. Zastrzeżenie nr 1 – nie mam żadnego interesu w chwaleniu ani krytykowaniu Billona. Jestem po prostu ciekawskim użytkownikiem. Zastrzeżenie nr 2 – nie będę się w ogóle odnosił do aspektów biznesowych, bo się na tym nie znam, a polskim firmom z założenia życzę sukcesów tak w kraju jak i za granicą.

Poniższy zapis będzie quasi-chronologicznym zapisem eksperymentów. Będzie masa dygresji. I dygresji od dygresji. Koniec końców tekst wyszedł za długi i trzeba go było podzielić.

Czytaj dalej Billon czyli gigantyczny koszt shackowania (część 1)

Android SDK Poster

A wall poster with a detailed changelog of Android SDK versions 14-27, broken down into 30 categories.

https://github.com/PGSSoft/AndroidSDKPoster

https://github.com/PGSSoft/AndroidSDKPoster

With this poster near your desk, you can tell in seconds which SDK step counter sensor was introduced, when the Camera2 API debuted, or what the second meaning of the „Daydream” codename is (apart from the VR framework). You can find and confirm all of that data in an online documentation, but it will take you minutes instead of seconds.

The poster is provided for free by PGS Software, a Polish IT outsourcing company, providing services in nearshore development, custom software development, mobile application development, and software testing.

Hacking of Envelo postage stamps

Story originally shared as a lightning talk at Security PWNing 2016

Sometimes the old meets the new, i.e. when postage stamps of Polish Post (institution founded in AD 1558) are sold through an online service Envelo.pl (founded in 2013). It also means that the old, analog office, occasionally has to face challenges discovered in the world of digital.

That is what exactly happens, when you look at print-it-yourself postage stamps through a hackers’ glasses (I do not wear glasses, BTW). This is a digital, easily replicable good used in the real world! So, can I use one stamp multiple times? If yes, what is the time window during which one stamp can be reused? Because you know, in digital world there are both replay attacks (in which valid data transmission is fraudulently repeated) and concurrency attacks (in which given resource is consumed many times in a short timeframe before the fact of consumption is properly acknowledged).

To make long story short, I bought two stamps with intention to find answers to these two questions.

Czytaj dalej Hacking of Envelo postage stamps

Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce

Mój największy indywidualny projekt zrealizowany w roku 2016 – badanie stanu bezpieczeństwa 18 aplikacji mobilnych wydanych przez polskie banki. Publikacja elektroniczna wydana pod szyldem mojego pracodawcy – firmy PGS Software. Raport miał premierę na konferencji Security PWNing 2016, potem opowiadałem o nim jeszcze w Wiedniu na konferencji Android Security Symposium 2017 oraz CodeMobile 2017 w Chester.

Czytaj dalej Stan bezpieczeństwa mobilnych aplikacji bankowych w Polsce

Vimeo clip data leak (my first bug bounty)

Some time ago my workmate sent me a link to the video of my conference speech. Speech was about to be repeated shortly thereafter, so she decided to use the password protect feature available in Vimeo service.

A few weeks later I pasted the same link to Facebook chat and immediately clip thumbnail and description appeared. I thought that video was released, but it did not. Clicking link led to bare “This video is private, enter password” page. Apparently Facebook was accessing some more content than a regular user.

Private video link pasted into Facebook chat window immediately revealed thumbnail, title and description

Czytaj dalej Vimeo clip data leak (my first bug bounty)