Możesz pohackować z nami realne banki, sklepy internetowe, urządzenia IoT, wykonywać ataki socjotechniczne. Szukamy osób do pracy przede wszystkim w Warszawie (ale możliwe również inne miasta).
Czytaj dalej »Zerknijcie tutaj. Zdjęcia można pobierać losowo, w trakcie tworzenia jest również API (gdzie będzie można przefiltrować wyniki, po pochodzeniu etnicznym (są też Słowianie), wieku, płci czy nastroju czy kolorze skóry). Twórcy projektu piszą tak: Every image was generated by our internal AI systems as it continually improves. Use them in…
Czytaj dalej »
Pełna treść decyzji dostępna jest tutaj. Całość to kopalnia interesujących informacji, skomentujemy kilka wątków. Bardzo istotnym elementem w kontekście nałożonej kary wydaje się ten fragment: Jak wskazano w przyjętych podczas kontroli wyjaśnianiach, analiza ryzyka była robiona przez Spółę [UODO, poprawcie literówkę – przyp. sekurak] doraźnie dla poszczególnych procesów, w sposób…
Czytaj dalej »Chodzi o znany zapewne większości naszych czytelników incydent, który doprowadził do ujawnienia rekordów o przeszło 2 milionach osób. Poza danymi osobowymi były tam też zahashowane hasła, (na temat szybkości ich łamania przygotowaliśmy osobny tekst). O nałożonej karze przez UODO można poczytać tutaj („kara za niewystarczające zabezpieczenia organizacyjne i techniczne”): Zastosowane…
Czytaj dalej »Zobaczcie na to dość rozbudowane badanie. Przygotowano testowo ekstremalnie smart apartament: Były tam telewizory, dongle do telewizorów, kamery, suszarki do ubrań, dzwonki, pralki, żarówki czy asystenci głosowi – wszystko bardzo inteligentne i wysyłające dane do Internetu (w sumie 81 urządzeń umieszczonych w labie znajdującym się w UK oraz osobnym w…
Czytaj dalej »Dzisiaj na oficjalnym twitterze GitHub pojawiła się informacja, że stali się CNA, czyli CVE Numbering Authority. Oznacza to, że badacze bezpieczeństwa będą mogli zwrócić się do serwisu w celu przydzielenia numerów CVE dla znalezionych podatności. CVE to skrót od Common Vulnerabilities and Exposures i jest ogólnie przyjętym systemem katalogującym informacje…
Czytaj dalej »O problemie doniósł the Hacker News. Całość do podatność klasy CSRF (czyli zmuszenie przeglądarki ofiary do wykonania jakiejś nieautoryzowanej akcji; w naszej książce mamy cały rozdział o tym problemie): W zasadzie widać co tutaj się dzieje. Wystarczy osadzić tego typu obrazek na jakiejś stronie (np. na sekuraku) – oraz umieścić stosowną…
Czytaj dalej »Jeśli ktoś chce zobaczyć trochę realnych, świeżych podatności w IoT, zachęcam do lektury wyników badania projektu SOHOpelessly Broken 2.0. Na celownik wzięto 13 urządzeń, w których każde miało minimum jedną podatność webowo-aplikacyjną (co nie dziwi…): All 13 of the devices we evaluated had at least one web application vulnerability such…
Czytaj dalej »
Osoby które czytują sekuraka mają już przeczucie o jaką branżę chodzi – tak to wojsko USA (Air Force). Eksperyment z pewnymi systemami F-15 na tegorocznym Defconie się powiódł, a na przyszły rok szykuje się prawdziwa niespodzianka. W scope będzie sam satelita ale również infrastruktura naziemna: While sending elite hackers after…
Czytaj dalej »
Nikt wysokiej rozdzielczości zdjęć z badań nie będzie trzymał pod biurkiem. Raczej korzysta się z centralnych systemów, a centralne systemy dostępne są z Internetu (przecież jakoś trzeba te dane tam wgrać ;-). W tym badaniu pokazano podatne systemy PACS (Picture Archiving and Communication Systems) rozsiane po całym świecie. Wyniki są…
Czytaj dalej »W zasadzie każdy normalny kraj posiada centralną bazę danych obywateli. Co jednak się może wydarzyć kiedy taka baza wycieknie? VPNMentor doniósł właśnie o namierzeniu otwartej do Internetu bazy Elasticsearch, zawierającej przeszło 20 milionów rekordów o obywatelach Ekwadoru. Kraj ten ma ok. 16 milionów ludzi, jednak w bazie zdarzają się informacje…
Czytaj dalej »
Google Project Zero donosi o załatanej już podatności w LastPass (czy raczej przeglądarkowym pluginie dostarczanym przez tego managera haseł). PoC jest dość prosty i umożliwia na wykradzenie hasła wpisywanego na poprzednio odwiedzanej stronie: Luka jest już załatana, ale warto pamiętać że to właśnie pluginy przeglądarkowe są piętą Achillesową managerów haseł……
Czytaj dalej »
Pentesterzy rzeczywiście testowali zabezpieczenia sądowe: State court administration (SCA) is aware of the arrests made at the Dallas County Courthouse early in the morning on September 11, 2019. The two men arrested work for a company hired by SCA to test the security of the court’s electronic records. The company…
Czytaj dalej »
W przypadku tego urządzenia, procedura jest dość prosta. Najpierw wykonano 100-krotne naciśnięcie każdej z cyfr PIN-u jednocześnie analizując to co dzieje się na radiu. https://leveldown.de/pin_trainer.m4v Zapisanie danych radiowych zostało wykonane z pomocą GNURadio oraz HackRF. Dane zostały użyte jako wejście dla machine learningu (w tym przypadku Tensoflow). Efekt? Skuteczność 96% w kontekście…
Czytaj dalej »
66 satelitów konstelacji Iridium cały czas krąży nad nami. Zapewniają one m.in. możliwość prowadzenia rozmów (z wykorzystaniem telefonów satelitarnych). Projekt powstał wiele lat temu i jak można się domyślić, nie zapewnia natywnie szyfrowania danych. Tutaj możecie zobaczyć zastosowanie SDR-a właśnie do podsłuchu danych z satelitów Iridium (w tym odgrywanie audio):…
Czytaj dalej »