Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Aktualności

„Automatyczny rasizm” – Hikvision udostępnia kamerę AI, automatycznie wykrywającą rasę.

13 listopada 2019, 12:09 | W biegu | komentarze 2
„Automatyczny rasizm” – Hikvision udostępnia kamerę AI, automatycznie wykrywającą rasę.

Nie jest tajemnicą że Chiny walczą z Ujgurami – jedną z mniejszości etnicznych. Producenci sprzętu monitoringu wizyjnego idą za tym trendem, proponując automatyczne wykrywanie rasy oraz innych parametrów dostrzeżonych przez kamery osób: Capable of analysis on target personnel’s sex (male, female), ethnicity (such as Uyghurs, Han) and color of skin (such as…

Czytaj dalej »

Kasy fiskalne na smartfony. Wygodne? Oczywiście. Ale przestępcy wyczuli okazję i być może mamy niespotykane do tej pory combo wykradające Wasze dane i pieniądze

13 listopada 2019, 11:51 | W biegu | 0 komentarzy
Kasy fiskalne na smartfony. Wygodne? Oczywiście. Ale przestępcy wyczuli okazję i być może mamy niespotykane do tej pory combo wykradające Wasze dane i pieniądze

Ministerstwo Finansów pracuje nad rozwiązaniem kasy fiskalnej w wersji softwareowej (np. na smartfonie). Wygodne? Choć temat podłapały już osoby mające nieco niecne zamiary, czy pisząc bardziej wprost chcące Was okraść z casheu czy danych: Ministerstwo Finansów ostrzega przed pojawiającymi się w internecie ofertami kas rejestrujących, które miałyby działać na smartfonach….

Czytaj dalej »

Root na iPhony. Jailbreak działa na iOS 12 oraz 13. Wykorzystuje podatność w BootROM-ie.

11 listopada 2019, 14:46 | Aktualności | 0 komentarzy
Root na iPhony. Jailbreak działa na iOS 12 oraz 13. Wykorzystuje podatność w BootROM-ie.

Niedawno pisaliśmy o tym badaniu, wykorzystującym podatność w BootROM-ie iPhoneów (do iPhone X). Była to bazowa praca, na bazie której miały powstać uniwersalne Jailbreaki działające również na najnowszych (załatanych) wersjach systemu iOS. Obietnica się spełniła – mamy dostępny w wersji beta Jailbreak o nazwie: checkra1n. Całość na razie dostępna jest w…

Czytaj dalej »

Scam na Airbnb – masowo wynajmowali „wirtualne” mieszkania. Firma wprowadza zmiany…

11 listopada 2019, 14:17 | W biegu | komentarze 3
Scam na Airbnb  – masowo wynajmowali „wirtualne” mieszkania. Firma wprowadza zmiany…

Zobaczcie na ten długi wątek opisujący w sumie dość prosty scam. Wynajmujesz mieszkanie. W ostatniej chwili okazuje się, że jest awaria łazienki. Ale właściciel jest na tyle miły że znajduje zastępcze miejsce. Uff, zgadzasz się. Okazuje się że zastępcze mieszkanie to miejsce niewiele przyjaźniejsze niż psia buda (wszędzie pajęczyny, szczury,…

Czytaj dalej »

CollapseOS – system operacyjny który postawisz na sprzęcie zebranym ze złomu, po nadejściu globalnej katastrofy

10 listopada 2019, 16:30 | W biegu | komentarze 22
CollapseOS – system operacyjny który postawisz na sprzęcie zebranym ze złomu, po nadejściu globalnej katastrofy

Jeśli ktoś się przygotowuje na scenariusz z Fallouta, powinien zapoznać się z tym systemem operacyjnym, tworzonym w modelu OpenSource. Idea jest prosta: całość ma działać na komponentach, które uda się wyciągnąć z elektrozłomu. Trudno powiedzieć czy do zasilania wystarczy np. bateria z cytryny, ale pomysł na pewno jest interesujący. Twórca…

Czytaj dalej »

Ciekawy scam wykorzystujący nieskończoną pętlę w Firefoksie. Aby odblokować komputer dzwoń pod numer…

10 listopada 2019, 12:43 | W biegu | komentarze 4
Ciekawy scam wykorzystujący nieskończoną pętlę w Firefoksie. Aby odblokować komputer dzwoń pod numer…

Z jednej strony to tylko „zwykły ekran” proszący o login i hasło, z drugiej strony ten błąd uniemożliwia zamknięcie popupu, ale i też całej przeglądarki (można ją zamknąć na liście procesów, ale dla nietechnicznych użytkowników to trochę bardziej skomplikowana czynność). „W każdym razie, potrzebujesz pomocy z załatwieniem tematu? Zadzwoń na…

Czytaj dalej »

Ubiquiti unifi Video. Eskalacja uprawnień do SYSTEM. Ubiquiti wypłaca nagrodę ~65 000 PLN

09 listopada 2019, 09:33 | W biegu | 1 komentarz
Ubiquiti unifi Video. Eskalacja uprawnień do SYSTEM. Ubiquiti wypłaca nagrodę ~65 000 PLN

Instalujesz pod Windows oprogramowanie do obsługi video. Wszystko fajnie, tylko nieświadomie odpalałeś usługę działającą na localhost (port 7440), która z pośrednictwem mechanizmu WebSocketów wystawiała nieuwierzytelnione, pracujące z uprawnieniami SYSTEM API. API z kolei udostępniało ciekawy ficzer – umożliwiający uruchomienie dowolnej binarki. Całą akcję można zobaczyć na filmiku tutaj. Ubiquiti załatało podatność w wersji v3.10.7…

Czytaj dalej »

5G i Huawei to pryszcz. Armia USA zamawiała pewien sprzęt do swoich „najbardziej wrażliwych” instalacji…z Chin

09 listopada 2019, 08:40 | W biegu | komentarze 2
5G i Huawei to pryszcz. Armia USA zamawiała pewien sprzęt do swoich „najbardziej wrażliwych” instalacji…z Chin

FBI właśnie najechało siedzibę firmy Aventura Technologies. Aresztowano też jej szefów. Zarzuty? Dość poważne – sprzedaż sprzętu Armii USA, który deklarowany był jako pochodzący z USA – tymczasem kupowano go w Chinach, naklejano stosowne naklejki i po sprawie: The scheme carried out by Aventura Technologies exposed the federal government and multiple military…

Czytaj dalej »

Studium: ataki ransomware na szpitale zwiększyły śmiertelność pacjentów

08 listopada 2019, 21:11 | W biegu | komentarzy 5
Studium: ataki ransomware na szpitale zwiększyły śmiertelność pacjentów

Zazwyczaj nie jest to tak, że ransomware czy inny atak na infrastrukturę szpitala zabija pacjentów. Podobnie jak jeden papieros czy jeden dzień wdychania krakowskiego powie^H smogu nie kładzie od razu do grobu. Natomiast takie powolne procesy, mając odpowiednio dużą próbkę, można badać. Pełną wersję badania (pod lupę wzięto przeszło 3000…

Czytaj dalej »

Microsoft ostrzega: łatajcie RDP bo prawdopodobnie BlueKeep będzie niebawem używany do strasznych rzeczy

08 listopada 2019, 16:31 | W biegu | komentarze 4
Microsoft ostrzega: łatajcie RDP bo prawdopodobnie BlueKeep będzie niebawem używany do strasznych rzeczy

Microsoft opublikował względnie rozbudowaną analizę ostatniej fali ataków na systemy Windows. Wykorzystana została tutaj załatana już podatność BlueKeep (bez uwierzytelnienia można przejąć niezałatane systemy, wysyłając odpowiednio złośliwą komunikację RDP). Microsoft również dodaje, że obecnie obserwowano falę instalacji koparek kryptowalut, ale prawdopodobnie pojawią się o wiele groźniejsze warianty: In addition, while…

Czytaj dalej »

GitHub: nieautoryzowany dostęp do kont użytkowników -> przyznano nagrodę ~100 000zł

07 listopada 2019, 19:50 | Aktualności | komentarze 2
GitHub: nieautoryzowany dostęp do kont użytkowników -> przyznano nagrodę ~100 000zł

Ta podatność w GitHub-ie warta jest wspomnienia ze względu na kilka różnych ciekawostek. Całość dotyczy wydawałoby się bezpiecznego mechanizmu OAuth. Ale od początku, GitHub definiuje taki URL: https://github.com/login/oauth/authorize Realizuje on dwie funkcje – jeśli dostaniemy się tam GET-em otrzymujemy ekran logowania, z kolei POST wysyłany jest w momencie kiedy użytkownik…

Czytaj dalej »

W kieszeni miał 9 podrobionych dowodów osobistych i telefon znajomej. Wyłudził na jej dane kredyt: 47 000 zł

07 listopada 2019, 19:38 | W biegu | 1 komentarz
W kieszeni miał 9 podrobionych dowodów osobistych i telefon znajomej. Wyłudził na jej dane kredyt: 47 000 zł

Aż trudno zgadywać gdzie tutaj mógł być przekręt. Zatrzymany w Katowicach mężczyzna miał przy sobie 9 podrobionych dowodów osobistych, a wyłudził kredyt na 47 000 złotych korzystając z telefonu, który wziął od znajomej „w celu naprawy”. Można teraz się zastanawiać: OK, koleżka mógł odczytać SMS-y ale co z uwierzytelnieniem w…

Czytaj dalej »

Spamujesz i nie chcesz zaprzestać? UODO właśnie nałożyło karę 200 000 zł na takiego delikwenta

07 listopada 2019, 11:18 | W biegu | komentarzy 9
Spamujesz i nie chcesz zaprzestać? UODO właśnie nałożyło karę 200 000 zł na takiego delikwenta

Kara w wysokości ~200 000 zł za m.in. „utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych.” została nałożona na spółkę ClickQuickNow przez UODO. Najciekawszy chyba jest ten fragment: spółka w procesie wycofania zgody nie uwzględniła zasady zgodnie, z którą wycofanie zgody powinno być równie łatwe jak jej wyrażenie – wręcz odwrotnie…

Czytaj dalej »