-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Aktualności

Twitter „przypadkiem” użył numerów telefonicznych podanych do mechanizmu 2FA, aby targetować reklamami

10 października 2019, 09:26 | W biegu | 1 komentarz
Twitter „przypadkiem” użył numerów telefonicznych podanych do mechanizmu 2FA, aby targetować reklamami

Zapewne wielu z Was zna tę popularną opcję na Twitterze czy Facebooku (i w wielu innych serwisach): aby zalogować się, należy poza loginem i hasłem podać również unikalny kod wysyłany SMS-em do użytkownika. Operacja wymaga wcześniejszego podania serwisowi numeru telefonu, który ma być wykorzystywany tylko w celach zwiększenia bezpieczeństwa. Tymczasem…

Czytaj dalej »

iTerm2: przeglądasz logi czy robisz coś zwykłego w konsoli. Bum – ktoś dostał się właśnie na Twojego kompa.

09 października 2019, 21:21 | W biegu | 0 komentarzy
iTerm2: przeglądasz logi czy robisz coś zwykłego w konsoli. Bum – ktoś dostał się właśnie na Twojego kompa.

Dzięki projektowi wspieranemu przez Mozillę wykryto krytyczny błąd w narzędziu iTerm2 – bardzo popularnym w środowiskach wielbicieli komputerów Apple. O co chodzi? Jeśli używasz iTerma2 np. do odczytania plików, których zawartość dostarczy atakujący, możliwe jest wykonanie kodu w OS z Twoimi uprawnieniami: Ciekawy przykład podany jest tutaj. Atakujący wchodzi na…

Czytaj dalej »

„Halo tu bank. Wykryliśmy nietypową transakcję. Proszę teraz…” Phishing roku?

09 października 2019, 21:03 | W biegu | komentarzy 13
„Halo tu bank. Wykryliśmy nietypową transakcję. Proszę teraz…” Phishing roku?

Zobaczcie na ten wątek, który pozwoliliśmy sobie przetłumaczyć: Halo tu twój bank. Wykryliśmy podejrzaną transakcję kartą kredytową w Miami. Czy pan ją wykonywał? Nie OK, w celu weryfikacji że rozmawiam z Piotrem proszę o podanie swojego ID logowania do banku. Dziękujemy. Zaraz otrzyma Pan, z banku kod PIN, który proszę…

Czytaj dalej »

Badacz: można zdalnie uruchomić alarm na wszystkich elektrycznych hulajnogach w mieście. Bird: to minimalny problem

09 października 2019, 18:45 | W biegu | komentarze 2
Badacz: można zdalnie uruchomić alarm na wszystkich elektrycznych hulajnogach w mieście. Bird: to minimalny problem

Ciekawa analiza aplikacji mobilnej do obsługi elektrycznych hulajnóg, czy dokładniej API mobilnego oferowanego przez firmę Bird. Dostęp do API nie jest jakoś specjalnie zabezpieczony od strony mobilnej (np. nie ma tutaj pinningu certyfikatów SSL). A korzystając z jednej funkcji API można np. bez problemu włączać / wyłączać alarm dźwiękowy (i…

Czytaj dalej »

Ransomware – ofiara zaatakowała odwetowo szantażystę i wykradła mu klucze krypto. Dostępne są na Pastebin

09 października 2019, 15:37 | W biegu | komentarze 23
Ransomware – ofiara zaatakowała odwetowo szantażystę i wykradła mu klucze krypto. Dostępne są na Pastebin

Za odszyfrowanie dysku QNAPa miał zapłacić w BTC około 2000 PLN. Sam ransomware o nazwie Muhstik jest dość porządny, ale jego infrastruktura backendowa – mierna: i hacked back this criminal and get the whole database with keys, here it is: https://pastebin.com/N8ahWBni Tabela z kluczami deszyfrującymi ma prawie 3000 pozycji –…

Czytaj dalej »

Magento: jeśli nie chcecie za chwilę utracić kontroli nad swoim e-commerce, lepiej zaaplikujcie tę łatę!

08 października 2019, 19:12 | W biegu | 1 komentarz
Magento: jeśli nie chcecie za chwilę utracić kontroli nad swoim e-commerce, lepiej zaaplikujcie tę łatę!

Magento wypuściło właśnie paczkę łat. Pierwsza podatność zwala z nóg, bo w zasadzie gorzej być nie może – błąd wyceniony w skali CVSS na 10/10, to możliwość wykonania dowolnego kodu na serwerze (RCE), bez uwierzytelnienia: A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior…

Czytaj dalej »

Jak ukraść milion dolarów? – czyli przykłady technicznych ataków na aplikacje finansowe [nasza prezentacja na Secure]

08 października 2019, 18:11 | W biegu | 0 komentarzy
Jak ukraść milion dolarów? – czyli przykłady technicznych ataków na aplikacje finansowe [nasza prezentacja na Secure]

Temat zaprezentuje Michał Bentkowski (obecnie na 9. pozycji na globalnej liście najlepszych bughunterów Google), autor kilku rozdziałów naszej książki, badacz (ostatnich kilka opracowań: ominięcie zabezpieczeń oferowanych przez DOMPurify, SSTI w systemie szablonów Pebble, analiza ekstremalnie niebezpiecznego elementu <portal>). Na tegorocznym Secure Michał pokaże dwie garści hacków, którym nie opierają się teoretycznie…

Czytaj dalej »

FBI publikuje ostrzeżenie o przełamywaniu mechanizmów 2FA przez cyberprzestępców

08 października 2019, 12:03 | W biegu | komentarzy 6
FBI publikuje ostrzeżenie o przełamywaniu mechanizmów 2FA przez cyberprzestępców

Najpierw dobra informacja, jeśli nie używasz 2FA, nikt nie może więc przełamać tego mechanizmu ;-)) To oczywiście żart, bo korzystanie z dwu-czy wieloczynnikowego uwierzytelnienia jest zdecydowanie zalecane. Najczęstszym przykładem tego typu zabezpieczenia jest znana wszystkim z banków konieczność wprowadzenia dodatkowego kodu (najczęściej przesyłanego SMS-em) przy autoryzacji przelewów (jak więc widać…

Czytaj dalej »

Dostępna nowa wersja VeraCrypta – darmowego, świetnego narzędzia do szyfrowania dysków / danych na pendriveach

08 października 2019, 11:05 | W biegu | 1 komentarz
Dostępna nowa wersja VeraCrypta – darmowego, świetnego narzędzia do szyfrowania dysków / danych na pendriveach

Po nieoczekiwanej „śmierci” TrueCrypt-a dużo osób zaczęło korzystać z VeraCrypta. Narzędzie ma się dobrze: na szczęście jest aktualizowane o nowe funkcje bezpieczeństwa, po drugie łatane są błędy. Ostatnio z tych pierwszych dodano np. ochronę przed częścią ataków klasy cold boot: Erase system encryption keys from memory during shutdown/reboot to help mitigate…

Czytaj dalej »

Oto bomba YAML-owa potrafi zniszczyć API Kubernetesa

07 października 2019, 22:38 | W biegu | 0 komentarzy
Oto bomba YAML-owa potrafi zniszczyć API Kubernetesa

Podatność XML Bomb (aka Billion Laughs Attack) być może jest Wam znana. Taki prosty XML, powoduje powstanie w pamięci miliarda lolów: Ale może mniej osób zna odmianę tego problemu w YAML-u. W Kubernetesie (czy dokładniej oferowanym przez ten produkt API) zgłoszono właśnie podatność YAML Bomb: CVE-2019-11253 is a YAML parsing…

Czytaj dalej »

Nowa podatność masakrująca API RESTowe. Jeśli jesteś programistą lepiej to zobacz…

07 października 2019, 22:27 | W biegu | komentarze 4
Nowa podatność masakrująca API RESTowe. Jeśli jesteś programistą lepiej to zobacz…

Chodzi o niby znaną od dłuższego czasu klasę Mass Assignment, która najwyraźniej przeżywa drugą młodość. Przesyłasz np. JSON-em dane nowego użytkownika do API, co jest mapowane na stosowny obiekt i zapisywane do bazy. Proste ale i niebezpieczne. Bo co się stanie, jeśli ktoś do JSON-a doda klucz „admin”: true ?. Będziemy…

Czytaj dalej »

Reductor: nowy malware w cichy sposób przechwytuje ruch HTTPS. Łata w locie generator liczb pseudolosowych przeglądarek

07 października 2019, 21:51 | W biegu | 0 komentarzy
Reductor: nowy malware w cichy sposób przechwytuje ruch HTTPS. Łata w locie generator liczb pseudolosowych przeglądarek

Mowa o malware  wykrytym przez zespół Kaspersky – na celowniku znajdują się kraje Wspólnoty Niepodległych Państw. Sposoby infekcji są dwa. Pierwszy z nich wykorzystuje pobieranie modułów Reductora przez znane złośliwe oprogramowanie COMpfun. Drugi wektor ataku wykorzystuje warezy, czyli serwisy, z których za darmo można pobrać płatne programy (nie jest to oczywiście…

Czytaj dalej »

Atak na Koalicję Obywatelską i innych użytkowników Twittera. Zmiana hasła nie pomaga (!)

06 października 2019, 21:57 | W biegu | komentarzy 7
Atak na Koalicję Obywatelską i innych użytkowników Twittera. Zmiana hasła nie pomaga (!)

Zobaczcie na tego dość niepokojącego, ale zarazem niewiele mówiącego tweeta: #SilniRazem trwa atak wirusowy na naszą wspólnotę. Nie otwierajcie wiadomości prywatnych z linkiem. One nie pochodzą od waszych znajomych. To wirus ‼️‼️‼️ Podajcie dalej 🔁 — Koalicja Obywatelska ✌️🇵🇱 (@KObywatelska) October 6, 2019 Co to za tajemniczy „wirus”? W dużym…

Czytaj dalej »

Sędzia z Łodzi zgubił pendrive z projektami wyroków, uzasadnieniami, danymi osobowymi…

06 października 2019, 17:00 | W biegu | komentarze 2

O tym fakcie informuje sąd okręgowy w Łodzi. Poza projektami wyroków czy uzasadnień do nich, na nośniku mogła znajdować się cała masa ciekawych danych: Na wskazanym nośniku zapisane były projekty orzeczeń czyli postanowień, wyroków oraz uzasadnień do nich (…) Mogło dojść do opisania schorzeń, rokowań, wskazania czasokresu zwolnienia itp (…) …

Czytaj dalej »