Tym przewrotnym tytułem nawiązuję do panującego od wielu lat mitu, pojawiającego się również w rozmaitych reklamach: masz certyfikat SSL, a twój serwis ma kłódkę przy adresie – jesteś bezpieczny!!! Co ciekawe, bardzo dużo serwisów z których wykradano hasła, właśnie miało HTTPS i kłódkę – po prostu napastnicy wykorzystywali odpowiednią podatność…

Dość szczegółowy dokument można pobrać tutaj. Znajdziemy tutaj m.in wymagania dotyczące: ustawień firewalla (np. jakie usługi nie mogą być dostępne na zewnątrz), minimalnych wymagań dla haseł czy wymaganej dostępności WPA2. W dokumencie są też opisane elementy związane z DNS (łącznie z takimi szczegółami jak kwestia odporności na atak DNS rebinding)…

Chodzi o event-stream, a szczegóły dostępne są tutaj. Dodany, złośliwy kod stara się wykradać kryptowalutę(y) z portfeli użytkowników – prawdopodobnie żeby kod zadziałał musi być dołączony właśnie do projektu, który realizuje tego typu operacje. Jak doszło do infekcji? Poprzedni zarządzający repozytorium odpowiada z rozbrajającą szczerością: he emailed me and said…

O chipach NFC wszczepianych najczęściej w dłoń pisaliśmy już na sekuraku. Tutaj z kolei ciekawa historia wszczepienia sobie chipa na DefCon-ie. Ogólnie sama procedura to nie jest to nic bardzo groźnego (jeśli ktoś lubi takie rzeczy ;)

Technika SIM swap znana jest od jakiegoś czasu. W największym skrócie polega na przekonaniu operatora GSM aby to mi aktywował kartę SIM, która rzekomo została zagubiona / zniszczona przez ofiarę. W przypadku sukcesu, ofiara „nagle” traci sygnał GSM i często jest już dla niej za późno. Atakujący w  ten sposób…

Od tematów telewizyjnych zazwyczaj staramy się stronić, ale tym razem warta odnotowania „ciekawostka”. Jak donosi gazeta.pl –  Jarosław Kaczyński i Lech Wałęsa spotkali się wczoraj w sądzie. Ot dzień jak co dzień ;) Może nieco nietypowym faktem jest dość dokładne przeskanowanie „pola bitwy” przez kamerę TVN 24. Jak donosi „Gazeta”:…

Przypominamy, o naszym bezpłatnym projekcie sekurakowych zinów – to wyselekcjonowane / zaktualizowane teksty z sekuraka, podane w wygodnej formie. Wszystko możliwe do pobrania bezpłatnie i bez rejestracji: Czwarty numer Trzeci numer Drugi numer Pierwszy numer A gdzie piąty numer? Cały czas pracujemy nad papierową książką sekuraka – o bezpieczeństwie aplikacji…

Zobaczcie na to mniej znane wydarzenie.  Mieliśmy tu przykład przejęcia w pełni załatanego iPhone X (podatność w domyślnej przeglądarce Safari, a później błąd w kernelu dający pełne wykonanie kodu jako root), jest też kilka rzeczy w VMWare Workstation / Fusion (wyskoczenie z maszyny wirtualnej do głównego hosta – tutaj jest…

Dane wrażliwe (randki/chaty i inne flirty) często bardzo młodych osób (ponoć nawet w wieku 13 lat). Wyciekło około 800 000 maili plus hasła i pseudonimy. Wg RODO/GDPR maksymalny wymiar kary to 20 000 000 EUR (lub 4% globalnego obrotu). W tym przypadku sąd orzekł… 20 000 EUR kary – dlaczego taka…

Zapraszamy na konferencję What The H@ck, której jesteśmy Partnerem. Już w sobotę, 1 grudnia, w Warszawie, możecie spodziewać się jednego z najważniejszych wydarzeń obszaru Cyberbezpieczeństwa. Agenda #wth18 jest bardzo bogata (aż 10 równoległych ścieżek) – każdy znajdzie coś dla siebie.

Opis małej afery tutaj. Ciekawym jest fakt, że badacz poinformował USPS o problemie przeszło rok temu, ale nie doczekał się odpowiedzi. Poszedł więc do Briana Krebsa, który rozkręcił aferę. W API mieliśmy względnie klasyczne błędy autoryzacyjne, umożliwiające na dostęp do danych innych klientów: In addition to exposing near real-time data about packages…

Zgodnie z coroczną już tradycją, dożywotnie konto na Shodanie dostępne będzie do kupienia w ramach akcji black friday. Okno zakupu będzie trwało od najbliższego piątku do poniedziałku. Czym jest Shodan? To jedno z popularniejszych narzędzi umożliwiających na szybki i realizowany w prosty sposób rekonesans sieciowy. Więcej szczegółów i przypadki użycia…

Zobaczcie na ten wątek, gdzie autor znaleziska wskazuje gry, które chyba grami nie są, za to dociągają w tle dodatkowy plik apk, a jako bonus ukrywają swoją ikonę. Oczywiście są one sprawdzone przez Play Protect:     Antywirusy zaczynają już powoli rozpoznawać pobierany plik apk (przynajmniej jeden z wariantów). Różowo to…

Aplikacja nie wymaga roota i pokazuje nam zarówno uprawnienia jakich wymagają zainstalowane aplikacje ale również liczbę elementów trackujących: W jaki sposób można to zrealizować na niezrootowanym urządzeniu? Aplikacje analizowane są po stronie serwerowej (w infrastrukturze Exodusa), a na telefonie mamy matchowanie zainstalowanych aplikacji z główną bazą. Jeśli znacie podobne projekty –…

Ciekawa, ciągle aktualizowana baza „podejrzanych” ciągów znaków, czyli takich które dość często stwarzają rozmaite problemy. Autor projektu jako rozgrzewkowy przykład podaje użycie tzw. zero-width space, który na Twitterze daje (dawał) internal server error… Pamiętajcie żeby tych nazw nie stosować np. jako nazw użytkowników, a dla (pen) testerów to idealne miejsce,…