Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
FB + Images + ImageTragick + DNS = RCE + 40 000 USD
Wersja rozszerzona równania – tutaj :) –ms
Czytaj dalej »Jak wygląda bootowanie Linuksa? Od BIOS-a do OS-a.
Wbrew pozorom nie jest to takie proste. Jak dobrze policzyć, możemy mieć nawet 3 bootloadery (Stage 1, Stage 1.5, Stage 2). Do tego dochodzą zabawki jak initrd. Żeby było zabawniej, to choćby ARM nie ma czegoś takiego jak BIOS… o czym pewnie wiedza użytkownicy R Pi. Jak więc rozwiązać ten…
Czytaj dalej »Wykonali dekompilację 16 000 aplikacji androidowych, znaleźli 2500 zahardcodowanych kluczy
Ciekawe badanie oraz sam system do analizy aplikacji androidowych (potrafi analizować appki bezpośrednio z Google Play…): Analiza polega na poszukiwaniu zahardcodowanych kluczy i innych interesujących ciągów znaków (haseł) w aplikacjach. Na ~16000 aplikacji znaleziono takich około 2500. Możecie zaprotestować, że nie wszystkie zapisane w appkach np. klucze API są groźne….
Czytaj dalej »Można podsłuchiwać rozmowy w WhatsApp? To nie bug[door] to ficzer! :-)
Guardian doniósł ostatnio o możliwości podsłuchania rozmów w popularnym komunikatorze WhatsApp. Zobaczmy najpierw na reklamę tego ostatniego: Jak widać, sam komunikator chwali się wysokim bezpieczeństwem (szyfrowanie end-to-end). Wszystko działa pięknie, poza jednym szczegółem. W skrócie, jeśli ktoś w środku komunikacji (np. sam WhatsApp na zlecenie rządu?) zmieni klucz kryptograficzny – komunikacja…
Czytaj dalej »Wykradanie haseł z McDonalda XSS-em. Exploit oraz irresponsible disclosure.
Nie będę się jakoś straszliwie rozpisywał. W każdym razie McDonald’s trzyma hasła użytkowników korzystających z głównego portalu (tych, którzy wybrali opcję 'zapamiętaj mnie’) w cookie które ważne jest dłuugo (autor znaleziska pisze o roku). Ciastka niby są zaszyfrowane ale udało się to przełamać. Jak z kolei pokazano wykradzenie ciasteczek? Za pomocą…
Czytaj dalej »Hacking Party Trójmiasto – hackowanie na żywo kamery
Czas na świeże mięso ;) tym razem planujemy hacking party na 31 marca w Trójmieście. Prawdopodobnie znowu całe wydarzenie będzie w kinie. W menu mamy m.in. hackowanie profesjonalnej kamery kopułowej firmy Ganz (wartość ~5kpln). We wdrożeniach swoich produktów firma chwali się takimi klientami jak: FBI, NYPD, The White House, US Coast Guard,…
Czytaj dalej »Firma z UK dostała karę ~750 000 PLN. Ukradli im nieszyfrowany dysk.
Czyżby była to rozgrzewka przed potencjalnymi wysokimi karami (do 10 milionów EUR) związanymi z nowymi wytycznymi odnośnie danych osobowych? W każdym razie skradziono dysk twardy (czy pewnie bardziej ogólnie laptopa / NAS-a z tym dyskiem), który – jak się okazało – nie był szyfrowany, a zawierał dość istotne dane: nazwiska,…
Czytaj dalej »Sekurak Hacking Party Wrocław – relacja z Multikina!
13 stycznia 2017r. mieliśmy pierwsze Sekurak Hacking Party we Wrocławiu, które wzbudziło wyjątkowe zainteresowanie uczestników. W imprezie uczestniczyło około 540 osób!
Czytaj dalej »Windows 10: automatycznie zablokuje kompa jak od niego odejdziesz. Wykorzystają kamery?
W Windowsie bez zmian – niby ciekawa funkcja związana z bezpieczeństwem (nie trzeba będzie pamiętać o blokowaniu windowsa za pomocą win+l ?) ale nic za darmo – w zamian muszę dać się nagrywać :) Tak przynajmniej sugeruje portal the verge, pisząc o funkcji Dynamic Lock, która jest dostępna w testowych…
Czytaj dalej »Używacie dockera? Można z niego wyskoczyć (patch).
W ostatnim czasie dużą popularność zdobył Docker: Docker containers wrap up a piece of software in a complete filesystem that contains everything it needs to run: code, runtime, system tools, system libraries – anything you can install on a server. This guarantees that it will always run the same, regardless…
Czytaj dalej »„Piękne dziewczyny” okazały się bojownikami Hamasu. Zainfekowali smartfony izraelskich żołnierzy.
Prosta i jak się okazało skuteczna akcja z kategorii spear phishing. Najpierw Palestyńczycy założyli (lub przejęli) konta atrakcyjnych izraelskich dziewczyn w serwisach społecznościowych. Następnie nakłaniali izraelskich żonierzy do ściągnięcia aplikacji, która de facto była trojanem: By impersonating beautiful women on social media, Hamas tricked and enticed IDF combat soldiers, hacked into…
Czytaj dalej »Brazylijski rząd ma password managera w excelu, który… wyciekł
Dokładniej chodzi o hasła do profilów społecznościowych. Rządowy profil na Twitterze, puścił do swoich przeszło 500 000 obserwujących aktualizację, w której był m.in. link do pliku excela z listą loginów i haseł do sporej liczby swoich profili: Twitter/Facebook/Google+/Instagram/… –ms
Czytaj dalej »GDPR – nowe wymagania dla ochrony danych osobowych. Idzie zagłada?
W maju 2018 roku wymagane będzie spełnienie zapisów określonych w rozporządzeniu parlamentu EU w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (w skrócie: GDPR). Największym chyba problemem jest możliwa do nałożenia kara za niespełnienie wymogów…
Czytaj dalej »Zhackowali rozruszniki serca. FDA potwierdza, producent łata. Atmosfera skandalu.
Akcja zaczęła się od publikacji raportu firmy MedSec – działającej w porozumieniu z funduszem Muddy Waters. Ta ostatnia nazwa wydaje się podejrzana, pardon, mętna?
Tak, ma to znaczenie – raport miał obniżyć cenę akcji firmy St Jude Medical, w której urządzeniach zostały wykryte podatności.
Czytaj dalej »Jak realizować testy bezpieczeństwa bankomatu?
Spory artykuł przeznaczony dla osób technicznych, które z jakiegoś powodu muszą wykonać testy bezpieczeństwa bankomatu. Całość w formie checklisty podzielonej na obszary bezpieczeństwa: fizycznego / logicznego / czy wskazanie potencjalnych problemów aplikacyjnych. –ms
Czytaj dalej »