Jeszcze kilka godzin i za około 1/10 normalnej ceny będzie można  uzyskać pełen dożywotni dostęp do Shodana. Nie będę Was dalej jakoś intensywnie namawiał – bo ten kto ma wiedzieć czym jest Shodan to zapewne już wie :-) My mamy od dawna pełen dostęp i w skrócie – warto je…

Zaczęło się od przygotowania przez marketing HP dramatycznego filmu,  pokazującego w sugestywnym, pełnym mroku scenariuszu, jak to używanie niebezpiecznej drukarki może skończyć się tragicznie… i puentując całość informacją o produktach HP: ” the world’s most secure printers and PCs”. Zaintrygowało to załogę z FoxGlove Security – to ci sami od…

Niejesteśmy specami w obszarze biologii ale terapie genowe wyglądają na mocno obiecujące, ale mogące mieć równie mocne negatywne efekty. W skrócie chodzi o: wprowadzeniu obcych kwasów nukleinowych (DNA lub RNA) do komórek. Czego efektem ma być np.: zmuszenie komórki do produkcji białka kodowanego przez wprowadzony gen Jak całość podawać? Np. wirusem: (…) w tym celu najczęściej stosuje…

Cały proceder ma miejsce od początku 2017 roku, a lokalizacja pobliskich wież GSM wysyłana jest również wtedy, kiedy nie mamy w telefonie karty SIM (wysyłka jest po WiFi). Wyłączenie “location services” nie pomaga – czy inaczej: wg serwisu Quartz – nie da się tego w ogóle wyłączyć: Even devices that had…

… co więcej przez rok Uber ukrywał wyciek, i – przynajmniej wg serwisu Bloomberg – zapłacili okup $100 000 – w zamian za nie ujawnianie danych z włamania oraz ich usunięcie (ten wątek cały czas jest niejasny). Ponoć do włamania doszło poprzez dostęp do prywatnego repozytorium na GitHubie i dalej –…

Po czterech latach dostępna jest nowa wersja dokumentu OWASP Top Ten – opisująca 10 największych ryzyk dotyczących bezpieczeństwa aplikacji webowych. Edycja 2017 wprowadza sporo rewolucji, jest to m.in. pojawienie się kilku zupełnie nowych kategorii ryzyk: XXE (na wysokiej pozycji czwartej), – o którym mamy już od dawana sporo informacji na…

Niby nic nowego, ot kolejne wykonanie nieautoryzowanego kodu w pakiecie Office. Ale… jednak mamy tutaj coś nowego. Okazuje się, że Microsoft tym razem załatał błąd w archaicznym komponencie służącym do tworzenia formuł matematycznych (Equation Editor, EQNEDT32.EXE) – poprzez bezpośrednią edycję pliku binarnego exe. Wielu uważa, że całkiem prawdopodobnym jest, że Microsoft po…

Core 6,7,8, Xeony, Atomy – to wybrane podatne platformy. O co tu dokładniej chodzi? O podatności w podsystemie Intel Management Engine, które niebawem zostaną zaprezentowane na europejskim Blackhacie. Atak jak na razie wygląda na mocny – daje dostęp w zasadzie do wszystkiego na komputerze (jakkolwiek górnolotnie by to nie brzmiało)…

Właśnie załatano krytyczną podatność w wielu produktach BIG-IP, w oryginale wygląda to tak: A BIG-IP virtual server configured with a Client SSL profile may be vulnerable to an Adaptive Chosen Ciphertext attack (AKA Bleichenbacher attack) against RSA, which when exploited, may result in plaintext recovery of encrypted messages and/or a…

Znamy już tego typu usługę udostępnianą przez Google (8.8.8.8), a niedawno został udostępniony adres 9.9.9.9 Usługę DNS zapewnia tutaj organizacja Global Cyber Alliance – w porozumieniu z IBM. Jako dodatkowy bonus dostajemy podstawową ochronę przed znanym malware (jeśli domena będzie w bazie GCA – nie rozwiążemy jej – czy raczej nie…

Brzmi jak zautomatyzowany OWASP Dependency Check? Bo założenia są podobne – automatycznie informować o podatnościach w bibliotekach, których używamy w naszej aplikacji. Repozytoria publiczne mają automatyczne włączone powiadomienia, w repozytoriach prywatnych trzeba je samodzielnie włączyć. Na razie wspierany jest JavaScript / Ruby – w następnej kolejności ma być dodany Python (2018)….

Od czasu do czasu rozdajemy trochę czarnych, darmowych koszulek sekuraka, które jak nam donosicie są wyjątkowo dobrej jakości. Można je prać ze 100 razy i nic się nie dzieje – a haftowane logo pozostaje jak nowe. Ostatnio dostaliśmy info, że nauczyciele akademiccy polecają nasze różne teksty studentom, a czasem nawet…

… najczęstsze problemy bezpieczeństwa występujące w aplikacjach mobilnych; do tego narzędzia umożliwiające zmiany aplikacji “w locie”,  dostęp do wrażliwych danych na telefonach i wiele, wiele więcej. Takie rzeczy prezentuje Michał Bentkowski na naszym szkoleniu warsztatowym z bezpieczeństwa aplikacji mobilnych. Szkolenie odbywa się pod koniec listopada w Warszawie, a podając hasło…

Większość z Was kojarzy zapewne ostatnią rozległą awarię w OVH – nie działało kompletnie bardzo dużo serwisów z Polski, nie działał Sekurak ani status.ovh.com. Problem na szczęście został rozwiązany w przeciągu paru godzin, a niedawno klienci OVH dostali maila z informacją o możliwym przyznaniu odszkodowania. Miło, prawda? Każdy też chciałby uzyskać…

USA robią pentesty z rozmachem – amerykański Homeland Security zakupił samolot Boeing 757, po czym wykonał na nim testy penetracyjne, które okazały się skuteczne: I didn’t have anybody touching the airplane, I didn’t have an insider threat. I stood off using typical stuff that could get through security and we…