Tym razem dwa bugi – które na Androidzie 5.0 i wyższym dają zdalne wykonanie kodu przez…posłuchanie mp3 lub oglądnięcie mp4.

Troy Hunt, znany choćby z darmowego e-booka: OWASP Top Ten dla programistów .NET, opublikował ostatnio listę przydatnych linków dla wszystkich zainteresowanych tematyką bezpieczeństwa IT. Od tekstów związanych kryptografią, przez klasyczne podatności w aplikacjach webowych – ale zaprezentowanych niekoniecznie w klasycznym wydaniu – po crackery, managery haseł czy rozmaite narzędzia przydatne…

… a jego developerzy spotykają się żeby powspominać stare dobre czasy: Co ciekawe, początki historii Excela były dość burzliwe… wystarczy wspomnieć, że główny programista projektu – Doug Klunder –  odszedł z Microsoftu po dość kontrowersyjnej decyzji Billa Gatesa – aby Excela 1.0 nie wydawać na MS DOS, ale na komputery Apple….

Czy coś Wam przypomina zrzut ekranowy poniżej? Chińska lokalizacja Windows XP? Ale terminal linuksowy pod Windows? To nie Windows, a NeoKylin – pod spodem znajdziemy Linuksa, przemalowanego trochę na Windowsa. Co więcej całość to nie niszowe rozwiązanie – jak raportuje serwis The hacker news, ponad 40% wszystkich komputerów sprzedanych w…

Kiedy poprosić o jasne stwierdzenie, czy przechowywanie przez odpowiednie służby kopii kluczy kryptograficznych umożliwiających bezpośredni dostęp do wrażliwych/zaszfyrowanych danych (skype, poczta elektroniczna, produkty szyfrujące dyski, itd.) – wpływa negatywnie na ogólne bezpieczeństwo – organizacje rządowe wiją się jak piskorz. Tymczasem szef NSA – Michael S. Rogers – przyciśnięty w Senacie…

Tavis Ormandy, opublikował szczegóły podatności w antywirusie Kaspersky. Problem umożliwia wykonanie kodu na systemie operacyjnym ofiary, jedynie przez fakt że ofiara przeskanowała antywirusem odpowiednio spreparowany plik.

Jakiś czas temu opisywaliśmy już oba narzędzia (praktyczny artykuł o odzyskiwaniu skasowanych danych), pisaliśmy też o softwareowym generowaniu bad-sectorów (na czymś trzeba trenować :) Z kolei jakiś już czas temu pokazały się nowe wersje duetu TestDisk / Photorec. Przynoszą one: Wsparcie dla odzyskiwania przeszło 10 nowych formatów plików (w sumie obsługiwanych jest…

Tym razem niewiele skomentuję – w nowym tekście Programisty mamy nowy tekst Michała Bentkowskiego (tematy bezpieczeństwa IT w kontekście przetwarzania XMLi). Są też fragmenty nowej książki Gynvaela Coldwinda (lidera znanej polskiej grupy CTF – Dragonsector). Swoją drogą odnośnie samej książki – będziemy jej patronem medialnym. Załoga Programisty o nowym numerze…

Przeszło 200-stronicowe opracowanie – Crypto101 – dostępne jest zupełnie bezpłatnie oraz kierowane jest do programistów – niezależnie od poziomu zaawansowania. Całości przyświeca hasło: ucz się przez eksperymentowanie. Dalej, autor zachęca do lektury w ten sposób: Learn how to exploit common cryptographic flaws, armed with nothing but a little time and your favorite…

Klucz publiczny, klucz prywatny – co za różnica… Tak chyba do tematu kryptografii podchodzi firma D-Link, która (przypadkowo?) udostępniła w swoim repozytorium GPL klucz prywatny, który może służyć do podpisu plików binarnych pod Windows. Tak podpisana binarka nie będzie wyświetlała ostrzeżenia w Windows o potencjalnie niezaufanym pliku, ładnie za to…

Wraz z nowym mobilnym systemem iOS9 pojawiła się jedna ciekawa funkcjonalność – możliwość działania w domyślnej przeglądarce Safari, pluginów blokujących reklamy (Purify, Peace – to tylko dwa przykłady). Nie trzeba chyba dodawać, że aplikacje błyskawicznie stały się hitem AppStore… –ms

Ostatnio pisaliśmy o przejęciu jednego z konta adminów zajmującego się obsługą błędów w Firefoksie (dzięki temu pewna rosyjska grupa miała możliwość przygotowania exploitów 0-days na tą przeglądarkę). Tym razem mamy chyba jeszcze gorszą rzecz – przez zwykłą rejestrację w bugzilli, można było otrzymać pełne uprawnienia. No dobrze, może nie przez taką…

Dzisiaj małe małe przypomnienie – w nieco leniwym okresie wakacyjnym opublikowaliśmy #1 bezpłatnego magazynu Sekurak/Offline. Pisali o tym m.in: Zaufanatrzeciastrona, Dziennik Internatów, ekscytował się nawet Wykop. Na info o kolejnym numerze zapisało się też już prawie 1600 osób!

Materiałów w temacie reverse engineeringu dla iOS jak na lekarstwo (dodatkowo, Apple nie rozpieszcza nas nadmiarem niskopoziomowej dokumentacji…).  A tym czasem od niedawna mamy dostępną szczegółową i to bezpłatną książkę, w taki sposób zachwalaną przez autora: iOS App Reverse Engineering is the world’s 1st book of very detailed iOS App reverse engineering…

USA Today publikuje informacje pewnym raporcie pokazującym cyberataki na Departament Energii USA za okres od 2010 do 2014 roku. Okazuje się, że systemy wyżej wspomnianej agencji były skutecznie atakowane przeszło 150 razy. Co ciekawe, w obszarze celów jest też agencja: National Nuclear Security Administration, odpowiedzialna m.in. za zarządzanie arsenałem nuklearnym…