Ciekawostka przyrodnicza. Niesłynne NSA daje dostęp do swoich zasobów: Now that cyberspace is the primary arena in which we protect information, we are working toward shaping an agile and secure operational cyber environment where we can successfully outmaneuver any adversary. A key step in building Confidence in Cyberspace is a…

W sumie to nic nowego, ale zapewne trend w tym temacie będzie w jedną stronę = więcej tego typu infekcji. W tym przypadku użytkownik zainstalował zewnętrzną aplikację, która okazała się malware i zablokowała telewizor. Reset fabryczny? Nie da się. Tzn da się: poszkodowany narzeka, że w serwisie kosztuje to $340. Ransomare każe płacić…

Podsumowujemy trochę obecny rok i tym razem parę zdań o projekcie, nad którym pracujemy w tle od paru miesięcy. Nazwa kodowa: rozwal.to premium. Platforma w przeciwieństwie do naszego rozwal.to ma udostępniać: Teorię do każdej kategorii Zadania do zrobienia, ale z przyciskiem: 'pokaż rozwiązanie’ Zadania challenges – czyli bez podpowiedzi Każdy ma generowane…

Wydajemy od jakiegoś czasu zina – sekurak/offline (trzeci numer mamy ukończony, pierwsi dostaną zapisani tutaj). Magazyn chcemy udostępniać bezpłatnie, ale dużo osób pisze, że z chęcią wesprze cały projekt. Pobranie cały czas będzie darmowe – ale z opcją zapłacenia – np. 5 / 10 / 20 / 50 zł ? PS Z…

Trzeci numer magazynu Sekurak/Offline dotyczy ponownie tematu bezpieczeństwa aplikacji webowych. Jest to jak dotąd najbardziej rozbudowany numer – ponad 80 stron tekstów.

Tajemnicą poliszynela jest fakt, że sieci infrastruktury krytycznej nikt nie chce testować pod względem ew. naruszeń bezpieczeństwa IT. Nikt nie ma infrastruktury testowej, a testowanie na produkcji… może skończyć się mała katastrofą. Kto za to odpowie? Tak, zgadliście – testujący. Tymczasem parę dni temu, nagły blackout na Ukrainie nasunął liczne…

Przez kilka ostatnich lat byliśmy obecni na Semaforze, który kojarzy się bardziej z tematami audytowymi…, jednak nasze w miarę techniczne prezentacje były oceniane wysoko – w zeszłym roku ponoć nawet najlepiej :) W 2017 roku też będziemy z prezentacją na Semaforze, z kolejnymi praktycznymi tematami. Szykujemy również naprawdę ciekawą praktyczną niespodziankę…

Wszyscy przyzwyczajeni jesteśmy do autoryzacji finansowych transakcji SMS-ami. Bad news – od pewnego czasu NIST chce odejść od tej metody: Out-of-band authentication using the PSTN (SMS or voice) is deprecated, and is being considered for removal in future editions of this guideline. Generator kodów na telefonie? Bad news – co z malware i dostępem do systemu transakcyjnego…

Widać że hack^H^H^H^H^H badacze bezpieczeństwa w Święta mają trochę więcej czasu ;) Tym razem mamy możliwość wykonania kodu w systemie operacyjnym poprzez podatność w popularnej bibliotece PHPmailer: SECURITY Critical security update for CVE-2016-10033 please update now! W skrócie, sama biblioteka reklamuje się tak: Probably the world’s most popular code for…

Chodzi o Exima, który jest zdecydowanie najpopularniejszym serwer pocztowym w Internecie (wg cytowanego badania 54% rynku). Jutro o 10:00 UTC będą znane szczegóły buga, opisanego na razie tak: Possible leak of private information to a remote attacker. Aktualizacja (25.12.2016, 12:10): są już znane szczegóły błędu: Exim leaks the private DKIM signing…

W projekcie nowej ustawy, nie zapomniano też o kryptowalutach. Do raportowania do centralnej bazy rachunków w projekcie jest zobowiązany m.in.: podmiot oferujący produkty i usługi w zakresie przechowywania danych uwierzytelniających niezbędnych do uzyskania dostępu do walut wirtualnych, prowadzący działalność gospodarczą na terytorium Rzeczypospolitej Polskiej. Jakby ktoś się zastanawiał czym jest waluta wirtualna, przygotowano taką definicję: waluta wirtualna – oznacza zbywalne prawo…

Netgear nie pali się do zwiększania podstawowego poziomu bezpieczeństwa na swoich routerach. Niedawno okazało się, że podatnych na wykonanie kodu w OS jest więcej urządzeń niż było to raportowane. A teraz mamy całą serię bugów zapewne będących dla badaczy na wagę złota. Jest to choćby stack overflow (pokazane są też…

Ostatnie głośne zabójstwo rosyjskiego ambasadora w Turcji skończyło się zastrzeleniem napastnika. Oczywiście odpowiednie służby chcą wiedzieć więcej o motywach czy zleceniodawcach całej akcji, w czym zapewne pomogłoby odblokowanie iPhone 4s należącego do zabójcy. Czytelnicy sekuraka kojarzą kilka nowatorskich technik odblokowywania telefonów firmy z Kalifornii… zatem dla rosyjskich służb nie powinien…

Ostatnie podejrzenia dotyczące rosyjskich grup hackerskich nie cichną. Choć Rosjanie konsekwentnie zaprzeczają. Tym razem mamy nową, a przy okazji dość nietypową aferę: Udało się zlokalizować dystrybuowaną na forach (m.in. VKontakte) podrobioną aplikację Попр-Д30.apk, która wykorzystywała obserwowany wcześniej X-Agent – czyli kod umożliwiający na zdalny dostęp do ofiary, a wykorzystywany przez domniemaną…

Banalny błąd zgłoszony do Facebooka w ramach programu bug bounty (wypłacono $5000). W skrócie: zapraszałem kogoś do bycia adminem w mojej grupie, a w linku usuwającym zaproszenie był… podany zarejestrowany w Facebooku e-mail zaproszonego :-) Jak widać, czasem żeby być hackerem, wystarczy umieć uważnie czytać ;-)   –ms