Na pytanie można odpowiedzieć prosto – przeglądnijcie zestawienie poniżej. W przeciągu ostatnich lat nie mamy tutaj zbyt dużo zmian – słabe hasła (lub takie zahardcodowane, o których nawet nie wiemy), masa kiepsko skonfigurowanych usług, czy jak zwykle kiepsko rozwiązane kwestie aktualizacji: Jak też widać OWASP zajmuje się nie tylko bezpieczeństwem aplikacji…

Poszukiwania ogłosiła policja z Gdańska, a info publikuje radio Eska: Włamała się na konto bankowe i ukradła kilkaset złotych. Policjanci poszukują kobiety, która mogła mieć związek ze sprawą. Wizerunek podejrzanej publikujemy w naszym artykule. O co dokładniej chodzi? W tekście mamy raczej dość skąpe informacje: Sprawca włamania dokonał wielu transakcji…

Omijanie biometryki bazującej na skanie palca – to było (nawet parę razy). Były też sztuczne głowy. Teraz czas na omijanie uwierzytelnienia bazującego na układzie naczyń krwionośnych. Na warsztat zostały wzięte dwa systemy, mające wg badaczy 95% udziału na rynku. Jako konkretny przykład użycia wskazywane są m.in bankomaty w Polsce. Zresztą badacze…

Cała pula do wypłaty to kilkaset tysięcy euro – a w programie uczestniczy kilkanaście projektów Free/OpenSource, z których korzystają kraje EU. Są tam m.in: Drupal, Putty, 7-zip, Tomcat, Notepad++ czy KeePass. Kryterium doboru było głosowanie, którego wyniki dostępne są tutaj (część projektów była już „maglowana” we wcześniejszych edycjach – np. serwer…

Czy czeka nas koniec epoki standardowych obrazków CAPTCHA? (tj. przepisz ciąg znaków z obrazka aby udowodnić, że jesteś człowiekiem). Nowa praca prezentuje rozwiązywanie tego typu testów z prędkością około 0.05 sekundy na jedno zadanie (używając standardowego, desktopowego GPU): Experimental results show that our approach can successfully crack all testing schemes,…

W związku z wejściem RODO/GDPR mamy prawo zażądać przedstawienia naszych danych osobowych, które są przetwarzane w systemie IT danej firmy. Tak postąpił jeden z użytkowników amazon.de – otrzymując dość nietypową paczkę danych… bowiem nie należały one do niego. W przesłanej paczce było m.in. 1700 nagrań audio zebranych przez szpie asystenta…

Agencja Reuters, potwierdziła tą informację w pięciu źródłach: Hackers working on behalf of China’s Ministry of State Security breached the networks of Hewlett Packard Enterprise Co and IBM, then used the access to hack into their clients’ computers. Wg doniesień atakujący byli częścią grupy realizującej kampanię Cloud Hopper (znaną już…

Jak pewnie wiecie ostatnio wyciekło około 2.2 miliona kont użytkowników z Morele.net – w tym zahashowane hasła. Wprawdzie sam sklep nie pisze o wykorzystanej metodzie hashowania, tutaj rąbka tajemnicy uchyliła osoba, która wykradła dane. Jest to funkcja md5crypt (nie mylić z MD5), wspierana przez hashcata. Funkcja ta używa maksymalnie 8…

Niektórzy mają gorszy dzień i jedzą wtedy czekoladę, inni – wrzucają na Twittera 0day-e na Windows: Dostępne są też PoC exploity do pobrania, ale na Waszym miejscu nie próbowałbym ich raczej na swoim głównym systemie :P Jak czytamy: According to the researcher, due to improper validation, the affected function can…

A to wszystko w standardowym Windows 10 Pro lub Enterprise (build 18305 lub nowszy): we developed Windows Sandbox: an isolated, temporary, desktop environment where you can run untrusted software without the fear of lasting impact to your PC. Any software installed in Windows Sandbox stays only in the sandbox and…

A jedynie zmniejsza trochę jej skuteczność. Przekonała się o tym pani Aleksandra: Aleksandra Korolova has turned off Facebook’s access to her location in every way that she can. She has turned off location history in the Facebook app and told her iPhone that she “Never” wants the app to get her location….

Co konkretnego znajdziesz w certyfikatach? Do czego wykorzystywane są konkretne wartości? Obiły ci się o uszy terminy: X.509, ASN.1, OIDs, DER, PEM, PKCS, ale nie pamiętasz już szczegółów? Potrzebujesz narzędzia które w prosty sposób przeanalizuje twoje certyfikaty czy klucze? Odpowiedzi na te pytania znajdziesz w tym poradniku – uwaga, do przeczytania…

Raport tutaj. Wybrano 5 lokalizacji spośród 104 baz. Jeśli ktoś chciałby scenariusz na nowego Jamesa Bonda, proszę bardzo: Niełatane latami podatności w systemach (jedna jest wskazana jako wykryta w 1990 roku i do tej pory niezałatana): Although the vulnerability was initially identified in 1990, the had not mitigated the [censored]…

Sam malware nie jest jakoś specjalnie wyrafinowany – może realizować zrzuty ekranowe, listować działające u ofiary procesy, pliki, wykradać zawartość schowka, czy pobierać login użytkownika. Na uwagę jednak zwraca dość innowacyjny sposób sterowania tym malware. Łączy się on z odpowiednim profilem na Twitterze i z obrazków pobiera odpowiednie polecenia: Przykładowy…

Zobaczcie na grudniową paczkę łat w Androidzie. Mamy tutaj 5 podatności RCE (remote code execution) oznaczonych jako Critical. W tym kolejne podatności w submodule Media framework. Najczęściej oznacza to możliwość wykonania kodu w systemie operacyjnym poprzez otworzenie odpowiednio spreparowanego pliku multimedialnego. Martwi też ta podatność w obsłudze Bluetooth. Z jednej strony mamy informację:…