Relacja jednego z naszych czytelników. Zacznijmy od samego SMSa. Na zielono – prawdziwy, historyczny SMS, na czerwono fałszywy – wysłany przez oszustów. Zauważ też nadawcę: NestBank: Jak widać, fałszywy SMS na telefonie pojawił się w tym samym wątku co poprzedni SMS z banku (z kodem autoryzującym transakcję). Treść tego SMSa…
Czytaj dalej »
Zapraszamy Was na czwarty odcinek MSHP Express, czyli zapowiedzi prelegentów na majowe Mega Sekurak Hacking Party. Prezentujemy Mateusza Wójcika, który podczas MSHP opowie o bezpieczeństwie sektora automotive. Bilety na imprezę możecie kupić tutaj: https://sklep.securitum.pl/mshp-maj-2024 Więcej informacji o samym wydarzeniu znajdziecie również na stronie hackingparty.pl~Łukasz Łopuszański
Czytaj dalej »
Od kilku dni krążyły pogłoski o rzekomym ataku RCE (Remote Code Execution) w kliencie komunikatora Telegrama dla komputerów z Windows. Okazały się prawdziwe, mimo pierwotnych zaprzeczeń ze strony twórców Telegrama. Przyczyną błędu była literówka w kodzie, dokładnie na liście rozszerzeń zawierających listę plików wykonywalnych. Na szczęście wykorzystanie podatności wymaga zarówno interakcji ze strony…
Czytaj dalej »
Podatny jest GlobalProtect. „GlobalProtect is more than a VPN. It provides flexible, secure remote access for all users everywhere.” Podatność umożliwia zdobycie roota na urządzeniu PaloAlto – bez konieczności jakiegokolwiek uwierzytelnienia (!). Unauth Command Injection. Producent informuje, że luka jest wykorzystywana w realnych atakach. Podatne są linie: PAN-OS 10.2 /…
Czytaj dalej »
Komunikacja odbywała się na WhatsAppie; poza sklonowanym głosem prezesa, atakujący wysyłał również wiadomości tekstowe. Obecnie głos można sklonować bardzo prosto – wystarczy kilkuminutowa próbka wypowiedzi ofiary i można sfałszowanym głosem wypowiadać wszystko. OpenAI chwali się nawet, że wystarczy 15 sekund próbki: Swoją drogą klonowanie głosu na żywo pokażemy na najbliższym…
Czytaj dalej »
Bitdefender opisuje całą serię podatności w LG WebOS. jednej strony wymaga to aby telewizor był udostępniony do Internetu, z drugiej strony badacze pokazali blisko 90000 telewizorów LG udostępnionych do netu… Jak widać poniżej, również w Polsce są fani wystawiania TV do internetu… Przechodząc do szczegółów, pierwsza podatność umożliwia stworzenie uprzywilejowanego…
Czytaj dalej »
Przyszłość rynku open source, konteneryzacja, data engineering i najnowsze trendy w bezpieczeństwie oprogramowania – to główne tematy 13. Edycji Open Source Day, która odbędzie się 18 kwietnia w Warszawie. Organizatorem konferencji jest Linux Polska – lider otwartych technologii na polskim rynku. Rejestracja na wydarzenie jest już otwarta. Już 18 kwietnia…
Czytaj dalej »
Skoro działa, to lepiej nie dotykać! Magiczne zdanie często wypowiadane przez administratorów. Szczególnie dotyczy to obszarów, do których admini nie chcą się nawet zbliżać. Jednym z takich obszarów jest Infrastruktura klucza publicznego (PKI). Windowsowe PKI ma swoją specyfikę, wynikającą z automatyzacji sprawiającej, że nawet dobrzy fachowcy od PKI w Internecie mogą okazać się…
Czytaj dalej »
Jeśli jesteście właścicielami starszego modelu urządzenia typu NAS firmy D-Link, przeczytajcie koniecznie – nie mamy dla Was dobrych wiadomości. Nowy użytkownik GitHuba netsecfish (konto założone dwa tygodnie temu, posiadające jednego obserwującego oraz trzy publiczne repozytoria) udostępnił informację o podatności dotykającej wielu starszych urządzeń D-Linka z linii dysków sieciowych. Luka sklasyfikowana…
Czytaj dalej »
Developerzy GrapheneOS już w styczniu poinformowali opinię publiczną, że zgłosili do Google podatności w firmware Pixela. Ogłosili też, że podobne zgłoszenia zostaną wysłane odnośnie telefonów firmy Samsung. Google w swoim biuletynie informacyjnym dodał informację, że niektóre z tych podatności mogą być aktywnie wykorzystywane, jednak na niewielką skalę. O co chodzi?…
Czytaj dalej »
Niedawno pisaliśmy o tym, jak wykorzystanie niebezpiecznych mechanizmów serializacji może być metodą ataku na developerów. Tym razem przedstawiamy research przeprowadzony przez WIZ, który korzystając z podobnych mechanizmów umożliwia atak na infrastrukturę usługi AI-as-a-Service. AaaS jest kuszącym rozwiązaniem w dobie AI ze względu na spore wymagania sprzętowe. Skorzystanie z rozwiązań chmurowych…
Czytaj dalej »
Można zaryzykować pewnie stwierdzenie, że każdej większej firmie zdarzył się lub zdarzy wyciek danych i tak oto do listy firm, które mają to już za sobą można dopisać firmę ubezpieczeniową Prudential. Okazuje się, że w lutym doszło do wycieku ponad 36 000 poufnych informacji. Dokładnie zdarzenie wykryto 5 lutego i…
Czytaj dalej »
Wazuh to jeden z najpopularniejszych systemów SIEM, który jest dostępny za darmo. Działa na wielu platformach i składa się z agenta, serwera i konsoli. Agent zbiera logi i powiadomienia o incydentach, serwer je przetwarza i podejmuje działania. Na dodatek wszystko może być zaprezentowane w przyjaznym interfejsie opartym o ElasticStack. Szkolenie…
Czytaj dalej »
Tym razem zacznijmy od przykładu praktycznego. Jak to jest możliwe? Wszystko za sprawą nowej techniki Kobold letters, która bazuje na e-mailu przygotowanym w formacie HTML i sprytnym użyciu styli. W trakcie forwardowania e-maili klienci poczty (Thunderbird / Outlook) dodają pewne tagi, co powoduje „zaburzenie” struktury emaila, stąd finalnie nie działa…
Czytaj dalej »
Portswigger to producent chyba najbardziej znanego narzędzia do testowania bezpieczeństwa aplikacji webowych – Burp Suite. Za to znalezisko wypłacono $5000 w ramach bug bounty. Co my tu mamy? Opis zaczyna się dość nietypowo: Nie zamierzałem tego zgłaszać, myślałem, że to laboratorium [do ćwiczenia podatności webowych], ale po mojej pierwszej analizie…
Czytaj dalej »