Aktualności

Chodzi o komunikację wysyłaną z urządzeń do fortinetowego clouda. Jak czytamy: Fortinet products, including FortiGate and Forticlient regularly send information to Fortinet servers (DNS: guard.fortinet.com) on – UDP ports 53, 8888 and – TCP port 80 (HTTP POST /fgdsvc) Ta komunikacja była „szyfrowana” za pomocą XOR-a (dodatkowo z zahardodowanym na urządzeniach…

Jeśli Wasze dziecko używa smartwatcha SMA-WATCH-M2, polecamy wyłączenie tego sprzętu i zaprzestanie używania, przynajmniej do czasu zabezpieczenia całości. W czym problem? Wg tych doniesień, serwer przechowujący wrażliwe dane Waszych dzieci (lokalizacje, numery telefonów, zdjęcia, rozmowy, …) nie posiada w zasadzie żadnych zabezpieczeń (tj wrażliwe dane przypisane do konta mogą być pobrane…

Kamery montowane w okolicach bankomatów to względnie standardowa rzecz, tym razem jednak ktoś w pewien sposób rozkręcił samoobsługowy dystrybutor paliwa, dodając tam: Kamerę odczytującą PIN Układ elektroniczny sczytujący dane karty Układ elektroniczny wysyłający wszystkie zebrane dane bezprzewodowo Sama kamera zainstalowana na jednej ze stacji benzynowych w Las Vegas widoczna jest…

Czy jeśli ktoś zaszyfrował dane i żąda okupu może zrobić coś więcej? Czasem może i wręcz to robi. Historię z firmą Allied Universal (aus.com) opisuje Bleeping Computer. Kompania co ciekawe prężnie działa na rynku 'security’: Allied Universal®, a leading security and facility services company with more than 200,000 employees and revenues…

Tym razem dwa słowa przypomnienia odnośnie prostej techniki mającej na celu namierzyć w serwisach społecznościowych konta osób, których e-maile znamy. Przykładowo niedawno wyciekła baza forum „Iron March”. Były tam m.in. e-maile, choć nie było potencjalnie nawet ciekawszych danych – np. danych kont w serwisach społecznościowych (te z kolei mają historię,…

O temacie donosi Brian Krebs, a sytuacja jest o tyle nieciekawa, że może wręcz doprowadzić do przedwczesnej śmierci niektórych pacjentów: The ongoing attack is preventing these care centers from accessing crucial patient medical records, and the IT company’s owner says she fears this incident could soon lead not only to the…

Badanie dotyczyło kilku produktów: Biblioteki LibVNC TightVNC 1.X TurboVNC UltraVNC a w trakcie badania zlokalizowano aż 37 luk (z czego aż 22 w UltraVNC) – większość w części klienckiej. Zaskakuje fakt, że podatności (również klasy buffer overflow) można znaleźć tu wyjątkowo prosto – również w części serwerowej. Zobaczmy np. taki fragment…

Shodan to znane narzędzie służące do rekonesansu sieciowego. Normalnie podstawowe konto kosztuje $49, natomiast z okazji 10-lecia powstania narzędzia, możecie go kupić za $1 (zakup „na zawsze”, jednorazowy). Trzeba się spieszyć bo promocja trwa jeszcze niecałe 24h: 10 years ago @achillean launched the Shodan website! To celebrate a decade of…

The Register alarmuje o używanej celowo przez m.in. sieci reklamowe technice umożliwiającej trackowanie użytkowników pomimo używania adblockerów. Pomysł jest prosty i opisany kilka dni temu na bug trackerze uBlock Origina: właściciel danej domeny,właściciel danej domeny, np. przejrzyste-okna.pl tworzy poddomenę np. csdfr3r2.przejrzyste-okna.pl która w DNS-ie jest jednak aliasem na serwer sieci reklamowej: straszne-reklamy-zabieramy-ci-prywatnosc-kolezko.pl. Poddomena jest…

Będąc skrzywionym nieco pod względem bezpieczeństwa IT raczej skłaniamy się do tezy, że całość nie tyle wspomoże lokalną gospodarkę i producentów, co umożliwi łatwiejsze szpiegowanie użytkowników. Po co zmuszać zagranicznych producentów do wbudowywania backdoorów (trudne w egzekwowaniu). Wystarczy wymusić konieczność instalacji rodzimego oprogramowania na telefonach / komputerach czy telewizorach i…

O wycieku poinformował najpierw Vinny Troya: I have a major #Databreach announcement tomorrow – 1.2 BILLION people exposed from a single organization. More details soon. @lilyhnewman @troyhunt @MayhemDayOne @DataViperIO — Vinny Troia (@vinnytroia) November 19, 2019 O całej akcji donosi również Wired. W bazie nie ma np. haseł i wygląda ona…

Coś dobrego dla fanów technicznej lektury, zawierającej jednak wątek sensacyjny. W rozbudowanym wpisie Google omawia swoje podejście do szukania błędów 0-days w Androidzie. Takich wykorzystywanych w realnych działaniach bojowych. No więc zaczyna się od hintu z końca lata 2019 roku, który otrzymała ekipa Google: In late summer 2019, Google’s Threat…

Ceny macie zaprezentowane w tym miejscu. Największa pojedyncza wypłata to aż $1 000 000 i dotyczy podatności klasy RCE (remote code execution) dotykającą chip Titan M, używany w googlowym Pixel 3: This year, with Pixel 3, we’re advancing our investment in secure hardware with Titan M, an enterprise-grade security chip custom built…

… i kilka jeszcze innych produktów zostało przejętych w ramach konkursu tianfucup, odbywającego się na chińskiej ziemi. Całość to odpowiedź na niezbyt przychylne (delikatnie rzecz ujmując) patrzenie chińskich władz na występowanie rodzimych badaczy na zewnętrznych konferencjach tego typu. Uczestnictwo w lokalnej imprezie jest też podgrzewane naprawdę solidnymi nagrodami. Przykładowo, około…

W największym skrócie, możecie zamówić wejścia na trzy nasze szkolenia otwarte (lista szkoleń objętych promocją poniżej) – płacąc cenę dwóch . Voucher szkoleniowy można wykorzystać aż do końca marca 2020 roku, a wykupione vouchery nie są imienne.