Oracle wypuścił właśnie serię łat na VirtualBox. Attack Complex: Low w połączeniu z wpływem na poufność/integralność/dostępność: High, nie wygląda dobrze. Sam powyższy opis podatności cały czas brzmi nieco enigmatycznie, ale nieco więcej światła rzuca na problem ten wpis, uzupełniony opisem oraz zrzutem ekranowym z działania exploita: CVE-2018-2698 is (…) powerful…

Technicznie rzecz ujmując, wspomniane w tytule rozszerzenia były „czyste”. Ale dociągały w odpowiednim momencie JavaScript z zewnętrznych serwerów, po czym go wykonywały. Finalnie rozszerzenia czyniły z ofiary proxy – czyli np. przeglądarki ofiar nieświadomie klikały reklamy wskazane przez twórców procederu. Wspomniane rozszerzenia to: Change HTTP Request Header, Nyoogle – Custom Logo for…

Packtpub udostępnia właśnie bezpłatnie książkę: „Practical Mobile Forensics„. Czyli jak wykonać analizę powłamaniową na iOS/Androidzie/Blackberry/czy mobilnych systemach z Microsoftu. Jest też niestety jeden drobny problem – książka jest wydana w 2014 roku (udostępniono wydanie I, choć jest dostępne też wydanie II – z 2016r), co w świecie mobilnym (no może…

Dodawanie „ukrytego” adres IP (tj. nie ujawnianego normalnie w ifconfig) ? Proszę bardzo: ip addr add 192.168.2.22/24 dev eth0  Zamknięcie obecnej sesji (np. ssh): kill -9 $$ Podstawy uprawnień, przeznaczenie głównych katalogów, parę poleceń sieciowych – wszystko to i wiele więcej znajdziecie w tym skondensowanym przewodniu po ciekawych Linuksowych poleceniach. –ms

Chciałbyś wejść w tematykę bezpieczeństwa IoT? Ale nie masz odpowiedniego sprzętu, materiałów w sieci też nie znajdziesz za wiele… i tutaj z pomocą przychodzi „router” uruchamiany w środowisku wirtualnym. Sam router jest podatny na buffer overflow i służy nauce lokalizacji i wykorzystania tego typu podatności: DVAR is an emulated Linux…

Wczoraj wieczorem (17:30 – 21:00) mieliśmy przyjemność organizować już ósmą edycję Sekurak Hacking Party. Byliśmy już w Krakowie (aż 3 razy), Wrocławiu, Poznaniu, Częstochowie i Trójmieście. Tym razem przybyło przeszło 400 osób: Wsparcie zapewniało nam Ocado Technology i Securitum i zgodnie z planem udało nam się w sumie poruszyć 5 tematów: hackowanie…

Właśnie udostępniono wersję 1.0 projektu OWASP Mobile Application Security Verification Standard. Zasadnicza część dokumentu to checklista, podzielona na takie obszary jak: architektura, składowanie danych, komunikacja sieciowa czy kryptografia – mamy w sumie aż 8 takich obszarów. W każdym z obszarów znajdziecie z kolei serię pytań kontrolnych typu: czy aplikacja zapisuje wrażliwe dane do…

Zacznijmy od bohatera drugoplanowego – to krytyczna podatność w JBoss (Redhat załatał z oceną krytyczności 9,8/10) – nie wymaga ona uwierzytelnienia, a umożliwia wykonanie dowolnego kodu na serwerze, poprzez deserializację. Co gorsza, całość jest dość prosta do wykorzystania… Wystarczy jeden request HTTP typu POST i voila… Podatność występowała do ~września…

Tym razem Microsoft  nieco odważniej mówi o spadku wydajności w związku z ostatnimi łatami na Spectre/Meltdown. Malkontentom można zawsze odpowiedzieć: przecież to nie nasza sprawa – winni są twórcy procesorów, idźcie do nich. Najgorzej mają właściciele procesorów z okolic 2015 roku (i wcześniejszych), którzy na dodatek używają Windows 7/8/wcześniejszego. Tutaj…

To tylko wycinek wyników zaprezentowanej tutaj pracy: Specifically, we show how the adversary can infer users’ full phone numbers knowing just their email address, determine whether a particular user visited a website, and de-anonymize all the visitors to a website by inferring their phone numbers en masse. Skuteczność niemal 100%…

Jak wiedzą nasi czytelnicy, Meltdown dotyka przede wszystkim Intela/ARM, Spectre również AMD. Wydaje się, że cały czas łatanie wygląda na nieco paniczne i niedopracowane: najpierw mieliśmy niebieskie ekrany śmierci z „niekompatybilnymi” antywirusami, teraz sam Microsoft przyznaje, że coś jest nie tak z aktualizacją i procesorami AMD: Microsoft has reports of some…

Szczegóły naszego hacking party (otwarte dla wszystkich, nie wymagana jest specjalna wiedza), można zobaczyć tutaj. Spotykamy się na przeszło 3h, 15 stycznia w Krakowie, gdzie zobaczycie garść *praktycznych prezentacji*. Można już finalnie się zapisać (pobierając bilet tutaj). Daliśmy też opcje wykupienia udziału płatnego (w ramach którego jest koszulka z haftowanym…

Sam problem pokazuje jak głębokie musiały być zmiany w systemie Windows, żeby załatać niesłynną parę podatności Meltdown/Spectre (podatne przede wszystkim procesory Intela oraz ARM, w mniejszym stopniu też AMD, ale również inne architektury (IBM System Z, POWER8 (Big Endian and Little Endian), and POWER9 (Little Endian)). Okazało się, że jeśli…

Zapraszamy na kolejne Sekurak Hacking Party – tym razem działamy 15 stycznia 2018 roku, start 17:30 – bezpłatnie na wydarzenie może przyjść każdy, kogo interesuje bezpieczeństwo IT lub jest czytelnikiem Sekuraka :-)

FAQ: 1. Czy jestem podatny? Najprawdopodobniej tak. To tłumaczenie pierwszego często zadawanego pytania dotyczącego podatności Meltdown & Spectre. Do sprawy przygotowali się panowie z Google, zgodnie z założeniami – „pokaż exploit to ci uwierzę”.