Obecna wersja protokołu HTTP/1.1, z 1999 roku zostanie niedługo zastąpiona wersją HTTP/2. Zobaczmy co nas czeka.

Dokładniej chodzi domyślnie instalowane  oprogramowanie SuperFish, które radośnie poprzez mały MiTM wstrzykuje reklamy do Chrome / Internet Explorera. Porażka? Dla marketingowców nie ma jednak nic straconego, jak tłumaczy uprzejmy pan z Lenovo, ten adware: helps users find and discover products visually” and “instantly analyzes images on the web and presents…

Arstechnica donosi o ciekawym projekcie telefonu wykorzystującego popularną dystrybucję Linuksa – Ubuntu. Aquaris E4.5 Ubuntu Edition, kosztuje niecałe 170 EUR, i sprzętowo wygląda nieźle: 4,5 calowy ekran, 4-corowy CPU – Cortex A7 , 1 GB RAM i 8 GB (rozszerzalnej) przestrzeni dyskowej. Wielu z Was ucieszy też pewnie obsługa dual…

µBlock (dostępna dla: Firefoxa, Chrome, od niedawna również Safari) to stosunkowo nowa wtyczka blokująca reklamy, a pisana z myślą o: wydajności (małe obciążenie CPU, mała zajętość pamięci) oraz łatwej a zarazem rozbudowanej możliwości konfiguracji. Zarówno benchmarki jak i opinie użytkowników wyglądają naprawdę bardzo dobrze: Jeśli macie dobre wrażenia z używania…

Nieco luźniejsza, ale niezmiernie interesująca krótka historia sabotażu na zespół rozwiązujący konkurs amerykańskiej agencji DARPA (Defense Advanced Research Projects Agency).

Ostatnimi czasy Microsoftowi ciężko idzie ze sprawnym wydawaniem poprawek bezpieczeństwa. Tymczasem, dwa dni temu na technecie ukazał się ciekawy opis scenariusza wykorzystania dwóch co dopiero załatanych błędów: MS15-011 (Vulnerability in Group Policy Could Allow Remote Code Execution) oraz MS15-014 (Vulnerability in Group Policy Could Allow Security Feature Bypass). Całość polega…

Funkcjonalność deszyfrowania ruchu SSL/TLS w Wiresharku istniała od dawna (oczywiście po podaniu do tego narzędzia odpowiedniego klucza prywatnego, co było możliwe do zablokowania mechanizmem forward secrecy – czyli sam klucz prywatny nie wystarczał do odszyfrowania ruchu). Jednak już od wersji Wiresharka 1.6+ istnieje możliwość bezpośredniego podania klucza symetrycznego sesji SSL/TLS…

Trochę zeszło nam czasu z wyłonieniem zwycięzców w ostatnim konkursie na najlepszy tekst o bezpieczeństwie… W każdym razie wyniki wyglądają następująco: Pierwsze miejsce – Aleksander Janusz, za pracę: „Szybka Analiza Malware” Nagroda: dostęp do oficjalnych materiałów przygotowujących do CHFIv8  (Computer Hacking Forensic Investigator) + voucher Prime IBT na egzamin. Drugie…

Jeśli macie w głowie pomysł na ciekawy artykuł / news (najlepiej na bazie swoich doświadczeń) to zachęcam do podzielenia się tą wiedzą na sekuraku. Każdy z nas jest zapracowany, więc od razu proponujemy współpracę komercyjną (w formie konkretnego wynagrodzenia per strona tekstu). Jakie tematy nas interesują? Związane z bezpieczeństwem :-)…

Mieliśmy shellshocka, mieliśmy heartbleeda, czas na GHOSTA, który dzisiaj został ogłoszony przez team Qualysa. Błąd tym razem jest przepełnieniem bufora w jednej z funkcji standardowej linuksowej biblioteki glibc: __nss_hostname_digits_dots() – ale można się do niej „dobić” (exploitując podatność) korzystając niezmiernie popularnej rodziny funkcji:   gethostbyname*(). Jak to piszą odkrywcy buga: This…

Zobaczcie tylko na jeszcze świeży kawałek Javascriptu tutaj. Przykładowo – w Chrome wystarczy użyć F12 -> Console i wkleić kod do przeglądarki. Można też z niewielką modyfikacją (ostatnia linijka) uruchomić taki javascript ze swojego serwera. Co wykorzystuje ten mechanizm? Na razie jeszcze mało popularny mechanizm WebRTC (Web Real-Time Communication), wykorzystywany…

CNN opisuje ciekawy eksperyment – otóż załodze z projektu openworm, udało się skopiować sieć nerwową robaka „Caenorhabditis elegans” do firmware-u robota Lego Mindstorms. Następnie podłączyli „sonar sensor” z Lego w miejsce nosowych neuronów czuciowych robaka, a odpowiednie neurony motoryczne – w miejsce bocznych neuronów zwierzęcia. Bez dodatkowego programowania wpływającego bezpośrednio…

Kontynuując pomysł pytań otwartych do czytelników sekuraka, chciabym Was zapytać z jakich narzędzi korzystacie do testowania bezpieczeństwa webservices i/lub API REST-owych? Samą teorię pentestów tego typu komponentów można znaleźć np. w siedmioczęściowym artykule o testowaniu webservice-ów tutaj, (link do kolejnych części), prezentacjach (np.  Blackhat – o testowaniu SOAP, czy praca…

Czy istnieje technologia umożliwiające przykazywanie dźwięku na duże odległości – nawet tak aby był on słyszalny bez posiadania żadnego odbiornika? Zobaczmy małe opracowanie dotyczące wybranych technologii dźwięku kierunkowego.

Ciekawy problem opisuje na blogu HD Moore. Otóż okazuje się, że tzw. Automated Tank Gauge – komponent monitorujący / zarządzający działaniem pewnych procesów na stacjach benzynowych (np. monitorowanie stanu paliwa czy uruchamianie alarmów np. w przypadku wycieków), jest niekiedy osiągalny z poziomu Internetu – na porcie 10001 TCP. Dokładniej, na porcie…