Tym razem skimmer udawał osłonę na pinpad, służącą normalnie do tego żeby utrudnić ujawnienie wpisywanego PIN-u (!): Później okazało się w środku jest urządzenie domowej konstrukcji, posiadające własną kamerę (z detekcją ruchu) i umiejące zapisywać nagrane filmy (z wpisania PIN-u) na karcie SD: Filmy te zresztą udało się cytowanemu badaczowi…

Do poczytania dwa artykuły (kolejne w produkcji): O lokalizowaniu / fizycznym wpinaniu się do portów serwisowych urządzeń: 2. O analizie firmware –ms

Najnowsze wydanie „Programisty” ponownie „blisko krzemu”. Tytułowy artykuł najnowszego wydania szczegółowo opisuje detale implementacyjne zarządzania pamięcią w procesorach, których wszyscy na co dzień używamy. Autorem tego opracowania jest Maciej Czekaj, który uzasadnia, dlaczego tak zwana „pamięć współdzielona” to duże uproszczenie tematu, a w rzeczywistości podobnie jak w przypadku aplikacji działającej…

To już dziewiąta edycja corocznego raportu od firmy Verizon (Data Breach Investigations Report). Tym razem przeanalizowano ~100000 incydentów bezpieczeństwa z czego 2260 to potwierdzone kradzieże danych (data breach). Kilka ciekawostek na zachętę: 1. Obecnie w kategorii data breach królują ataki webowe, które razem z atakami na POS dają aż ~60% wszystkich potwierdzonych…

Jeśli komunikacja jest szyfrowana za pomocą algorytmu AES-256 (ze złożonym kluczem) – to nie da się jej zdeszyfrować, prawda? No niekoniecznie, jak pokazaliśmy w ostatnim tekście na sekuraku, atak Padding Oracle umożliwia deszyfrację takiego ruchu, a w artykule Breaking Steam Client Cryptografy, pokazano jak taki atak wykonać na konkretnej implementacji. –ms

Szczególnie przydatne jeśli chcecie sprawdzić czy bez bólu można odszyfrować Wasze dane: –ms

Dzisiaj (28.04) opublikowana została nowa wersja dokumentacji PCI-DSS – 3.2. Zmiany w porównaniu z 3.1 nie są takie kosmetyczne jakby się mogło wydawać: są to choćby wymagania wieloczynnikowego uwierzytelnienia dla administratorów, testy penetracyjne dwa razy do roku, czy większy nacisk na mechanizmy detekcji ataków. Na wdrożenie całości dano sporo czasu –…

…do tego zabawy z Metasploitem (w tym tworzenie exploitu od zera), praca z potężnym (ale prostym w użyciu) generatorem pakietów scapy, metody podsłuchu ruchu sieciowego… oraz metody ochrony przed tym wszystkim.

Wydawnictwo No Starch Press ogłosiło akcję hacking humble bundle – płacisz cenę jaką wybierzesz za pakiet 4 książek, po przekroczeniu $15 masz pakiet w sumie 12 książek. Książki są bez DRMa, w formatach PDF / EPUB / MOBI. –ms

Jeszcze nie opadł kurz po ataku na bank w Bangladeszu (wykradziono $81 000 000), a tymczasem firma BAE Systems opublikowała raport pokazujący, że jednym z centralnych punktów ataku był malware zainstalowany w systemie obsługującym międzynarodowe przelewy. Malware był w stanie zmieniać transakcje w lokalnej bazie danych (po ich przechwyceniu) –…

Microsoft załatał (w 7 godzin od zgłoszenia!) krytyczny błąd umożliwiający ominięcie uwierzytelnienia do kont Office 365 (chodziło m.in. również o dostęp do plików składowanych w OneDrive, pocztę elektroniczną, itp).

Zapraszam na moją prezentację w temacie IoT hacking na wydarzeniu „the dragon wakes„. Całość w Krakowie w dniach 11-12 maja. Jeśli zobaczycie na prelegentów, jest to impreza dosyć wysokopoziomowa, ale edukowania w temacie security chyba nigdy za dużo. Językiem zrozumiałym (miejmy nadzieję) dla niespecjalistów, powiem trochę o hackowaniu samochodów, kamer,…

Firma BlueCoat donosi o aktywnych kampaniach malware/ransomware mających na celowniku posiadaczy Androidów w wersjach 4.x (4.0 – 4.4).

Alienvault udostępnił tutorial dla początkujących, opisujący budowę domowego laba do analizy malware : Building a Home Lab to Become a Malware Hunter – A Beginner’s Guide. Zainteresowanych tematem polecam też nasze dwa teksty: Szybka analiza malware oraz Analiza malware w praktyce – procedury i narzędzia. –ms  

Ciekawy artykuł „This Battery-Free Computer Sucks Power Out Of Thin Air” opisuje w pełni działający mini-komputer nie wymagający baterii: W każdym razie razie udało się przygotować mini komputer pobierający energię ze standardowego czytnika RFID: (…) instead, it sucks in radio waves emitted from a standard, off-the-shelf RFID reader—the same technology…