Aktualności

Ciekawa podatność, zgłoszona przez niemiecki CERT. „Ausführen beliebigen Programmcodes” to nieco szorstkie „Remote Code Exection” – czyli wykonanie dowolnego kodu w OS ofiary (z uprawnieniami użytkownika VLC). Z jednej strony problem wygląda na bardzo poważny (CVSS Base score 9.8/10) z drugiej strony Niemcy klasyfikują go z zagrożeniem 'High’ – nie…

Światowe media donoszą o hacku, nierzadko w nieco sensacyjnym tonie. Zhakowana firma to SyTech, realizująca zlecenia na potrzeby rosyjskiego FSB. Atak miał miejsce około tygodnia temu i wygląda to na włamanie obejmujące w zasadzie całą sieć – dostęp do kontrolera domeny [prawdopodobnie jako administrator] i przeniknięcie dalej: The breach took…

WebRTC w kontekście prywatności opisany został w tym artykule, a skutki jego stosowania w przeglądarkach tutaj. W skrócie: ta technologia pozwala na bezpośrednią komunikację pomiędzy przeglądarkami, a przy okazji może ujawnić nasz prawdziwy, publiczny adres IP (czasami pomimo VPN) czasami również adres lokalny. Właśnie z tego powodu WebRTC powinien być…

Ta nieprzyjemna akcja cieszy sporą popularnością. Mamy możliwych kilka wariantów, np. taki (niektórzy w domenie .tk widzą uwiarygodnienie całej historii), każdy z nich jednak najprawdopodobniej doprowadzi do próby wyczyszczenia Waszego konta. Nie klikajcie w żaden z tego typu linków! Nasi czytelnicy przesyłają kolejne odmiany tego samego „pomysłu”: Po wejściu lądujemy…

Zobaczcie na ten dość dziwny komunikat, o który pytają nas zaalarmowani czytelnicy: Maila od WizzAir otrzymały osoby zarówno z Polski jak i zagraniczni klienci. Na razie nie posiadamy zbyt wielu szczegółów, choć linia lotnicza uspokaja: there was no data breach, but we still recommend you to have your pass reset….

Ekipa Slacka pisze o wprowadzonym właśnie wymuszeniu zmiany hasła dla niewielkiej grupy użytkowników. Chodzi o incydent który miał miejsce w 2015 roku. Atakujący pobrali wtedy min. zahashowane hasła. Atak ten był o tyle ciekawy, że napastnikom udało się również wstrzyknąć fragment kodu, który na żywo pobierał hasła użytkowników w plaintext (np….

Alarmujący wątek można przeczytać na bugtrackerze Mozilli: „MITM on all HTTPS traffic in Kazakhstan”. Wygląda to na zmasowaną akcję rządową w połączeniu z operatorami telekomunikacyjnymi. Ci ostatni wysyłają informacje do użytkowników z prośbą o instalację w swoim systemie nowego (rządowego) certyfikatu root CA. Jeśli się nie zastosujesz – prawdopodobnie stracisz dostęp do…

Ciekawy podcast: „SATCOM PIRACY INTERVIEW” – rozmowa pewnym panem, który w latach 90-tych, z terytorium Brazylii używał satelitów do niekoniecznie legalnych rzeczy. Czy dało (da się?) się w jakiś sposób przesyłać własne dane przez satelity? Pamiętajmy, że sprzęt tego typu spędza w kosmosie czasem wiele dziesiątek lat. Sami odpowiedzcie sobie jak…

O mega wycieku z bułgarskiej skarbówki pisaliśmy wczoraj. Podejrzany o włamanie został najpierw aresztowany, ale już dzisiaj zwolniony z aresztu. Tymczasem na jednym z forów pokazał się prawie 11 GB dump baz, który został wcześniej przekazany dziennikarzom: Baza poza danymi osobowymi czy skarbowymi zawiera również pewne informacje zbierane przez inne…

Po walucie widzicie, że chodzi o USA. Problem był powtarzalny (raz było to $1,905 zamiast $19.05, w innym przypadku $1,308 zamiast $13.08). Czasem było to nawet prawie $10000: Hey @uber, you charged my wife $9672 for a ride that was listed as $96.72, and there’s no way to get in touch…

Niedawno uruchomiliśmy nieco eksperymentalny wątek proszący Was o wskazanie jakie wiedzieliście w swojej karierze duże problemy bezpieczeństwa w architekturze sieci.

Poranna gimnastyka umysłowa. Długie wyjaśnienie w linkowanym tekście, krótkie tutaj: [’1′, '7′, ’11’].map(parseInt) doesn’t work as intended because mappasses three arguments into parseInt() on each iteration. Żeby jeszcze bardziej zachęcić do przejrzenia cytowanego opisu, polecam zacząć od tego wpisu (o co chodzi z: if(!!x === !!yy) ?!?). A chcącym rozwijać się dalej – nasze opracowanie: XSS –…

Bleepingcomputer pisze o nadchodzącym połączonym duecie: Firefox Monitor (solidna integracja z przeglądarką ma pojawić się w FF 70) oraz Firefox Lockwise (czyli managerze haseł): Jeśli nasze zapisane konta gdzieś wyciekły, dostaniemy stosowny alert bezpośrednio w przeglądarce: Skąd Firefox czerpie informacje o wyciekach? Ze znanego serwisu haveibeenpwned i nie jest to też pierwsza…

W najnowszej wersji Burp Suite 2.1.01 pojawiła się obsługa WebSocket w Burp Repeater! Wykorzystajmy testową aplikację, aby zobaczyć nową funkcjonalność w akcji.

Pierwszy z trzech artykułów, który pokazuje świeże podatności u trzech znanych producentów VPN-ów. Żadna z luk nie wymaga posiadania konta i umożliwia wykonanie kodu w systemie operacyjnym, na którym pracuje VPN (podatność klasy RCE). Lukę można wykryć dość prosto (uwaga, nie róbcie tego na systemach produkcyjnych, bo zabija to usługę!)…