Aktualności

Akcja zaczęła się od publikacji raportu firmy MedSec – działającej w porozumieniu z funduszem Muddy Waters. Ta ostatnia nazwa wydaje się podejrzana, pardon, mętna?

Tak, ma to znaczenie – raport miał obniżyć cenę akcji firmy St Jude Medical, w której urządzeniach zostały wykryte podatności.

Zupełnie przypadkiem wpadła mi w ręce, wydana listopadzie 2016 roku, książka „Hash Crack”. Nowe wersje rozmaitych narzędzi, dużo różnych przykładów i linków – na 60 stronach. Czy warto kupić?

Mamy dostępnych kilka dokumentów: dekret prezydencki w temacie, wspólne oświadczenie FBI, ODNI, DHS. Trochę technicznych konkretów mamy w raporcie tutaj. W ramach całej operacji wskazany jest też m.in. adres z Polski…

Wszyscy przyzwyczajeni jesteśmy do autoryzacji finansowych transakcji SMS-ami. Bad news – od pewnego czasu NIST chce odejść od tej metody: Out-of-band authentication using the PSTN (SMS or voice) is deprecated, and is being considered for removal in future editions of this guideline. Generator kodów na telefonie? Bad news – co z malware i dostępem do systemu transakcyjnego…

Ostatnia akcja promocyjna tego szkolenia, kierowanego do osób stawiających swoje pierwsze kroki w technicznym bezpieczeństwie IT skończyła się absolutnie pełną grupą. Tym razem mamy dla Was możliwość uczestnictwa za połowę ceny jeśli spełnicie dowolny z trzech warunków poniżej.

Startujemy z sekurak hacking party 20 grudnia w Poznaniu. Można się już finalnie zapisać. Wstęp wolny.

Badanie prowadzone na żywych systemach – 400 największych sklepów on-line (ranking Alexa). Okazuje się, że system wykrywania fraudów nie działa dla wielu prób autoryzacji, realizowanych z różnych sklepów on-line. Po drugie – różne sklepy wymagają różnych pól karty płatniczej do realizacji transakcji. Efekt – skuteczny brute-force numerów CVV2 i dat ważności.

W 2017 roku dodamy do zadań labowych 3 profesjonalne kamery CCTV (jedna z nich kosztuje ~5000 PLN) – wykorzystywane są choćby chętnie w instytucjach rządowych. Do kamer można uzyskać dostęp zdalny bez uwierzytelnienia (OS root), a wszystko będziecie mogli przećwiczyć samodzielnie w LAB-ie (łącznie ze zdalnym obracaniem kamerą na żywo…).

Rozmaite serwisy rozpisują się o nowej podatności w Windows 10. W trakcie aktualizacji typu Feature Update, następuje wymuszony restart systemu i instalowane są aktualizacje. Nic w tym dziwnego, prawda…?

Być może myślicie, że chodzi o telefon z domyślnie zainstalowanym TOR-em? W tym przypadku projekt idzie o wiele dalej…

Kiedy używamy serwisów zapewniających anonimowość i prywatność w internecie, bardzo ważne jest, aby cały ruch sieciowy pochodzący z naszego komputera, był przesyłany poprzez sieć zapewniającą taką właśnie usługę. Jeśli jakikolwiek ruch (przez dowolny protokół) wycieka – czyli – nie używa bezpiecznego połączenia z internetem, to każdy, kto (np. ISP) będzie monitorować aktywność Twojego komputera, jest w stanie wychwycić ten ruch sieciowy.

Tym razem mamy niemal 3 000 000 urządzeń, które próbują komunikować się na zahardkodowane domeny – np. oyag.lhzbdvm.com. W komunikacji zwrotnej mogą otrzymać polecenie, które wykona się na telefonie z uprawnieniami root.

Nieskobudżetowy i pomysłowy projekt za $5. Całość jest zbudowanym w oparciu o RPi zero kombajnem podszywającym się za kartę sieciową USB, która (nawet na zablokowanych komputerach – Windows/Linux/OS X) jest automatycznie instalowana.

Wybrane modele telefonów wysyłają do Chin cały pakiet informacji: pełne SMSy, kontakty, historię rozmów (pełne numery), numer IMSI oraz IMEI. A to tylko początek – backdoor ma możliwość wykonywania poleceń w OS (system privileges) i omija system uprawnień na Andoridzie.

23 listopada zaczynamy w Warszawie szkolenie „Wprowadzenie do bezpieczeństwa IT”. Idealna metoda żeby w praktyczny i barwny sposób poznać wiele obszarów związanych z technicznym bezpieczeństwem IT.