Jeśli ktoś używa tej nieco oldschoolowej dystrybucji Linuksa, to powinien się ucieszyć – właśnie wydano Debiana 10 „Buster”. Co nowego w systemie? Domyślne włączenie AppArmor, przejście na NFtables (z iptables), aktualizacja do OpenJDK 11 (z wersji 8…), wsparcie dla UEFI Secure Boot. Zaktualizowano też kilkadziesiąt tysięcy dostępnych w systemie pakietów, a ważne…
Czytaj dalej »
Sam hack na British Airways rozpoczął się prawdopodobnie w pierwszej połowie 2018 i był działalnością tzw. grupy Magecart. Ekipa operuje poprzez przejęcie dostępu do istotnych serwisów (najczęściej zawierających możliwość realizacji płatności), wstrzyknięcie stosownego kodu JS, a następnie kradzież danych. W tym przypadku wykradziono pełne numery kart kredytowych + podstawowe dane osobowe (poszkodowanych…
Czytaj dalej »
Firma Upserve chyba słusznie uruchomiła program bug bounty. Niedawno mieli zaskakującą podatność umożliwiającą reset hasła dowolnemu użytkownikowi na znaną atakującemu wartość, teraz mamy może coś jeszcze ciekawszego – tworząc zamówienie można było zmniejszyć jego finalna kwotę: The total amount of an order could be modified by including an item with a negative…
Czytaj dalej »
Światełko w tunelu, mogące w końcu doprowadzić do skutecznego pozbycia się spamu telefonicznego: Do Urzędu Ochrony Konkurencji i Konsumentów zgłaszały się osoby, które skarżyły się na niechciane telefony od operatora telekomunikacyjnego – Netii. Urząd przeanalizował zgłoszenia od konsumentów i rozmowy sprzedażowe, które prowadzili z nimi konsultanci. Wynikało z nich, że Netia…
Czytaj dalej »
Klienckie VPN-y wyrosły w ostatnich latach jak grzyby po deszczu. Ale czy instalując tego typu rozwiązanie zastanawialiście się jaka firma (i w jakim kraju operująca) stoi za nim? Ciekawą analizę przygotował VPN Pro – analizując często niejawną przynależność konkretnych rozwiązań do jednej firmy-matki. Wersja skrócona raportu dostępna jest tutaj. Można się…
Czytaj dalej »
Firma Eurofins została zaatakowana przez ransomware około miesiąca temu (mowa jest dotknięciu nim oddziałów firmy w wielu krajach); od tego czasu brytyjska policja wstrzymała współpracę, a jest ona naprawdę potężna (firma obsługuje co roku przeszło 70 000 spraw!): Since the attack, police have halted all work with Eurofins, which normally processes…
Czytaj dalej »
Chodzi o aplikację do płatności firmowaną przez sieć 7-Eleven w Japonii (co ciekawe to bodaj największa sieć franczyzowa na świecie – prawie 70 000 sklepów w 17 krajach!). W aplikacji do płatności hasło można było zresetować standardowo (podając swojego maila), ale uwaga, była tu również druga opcja – wysłanie kodu…
Czytaj dalej »
Świeża analiza w tym miejscu. Po zautomatyzowanej analizie firmware urządzenia Cisco SG250 Smart Switch badaczy frapowało pytanie „kim jest tajemniczy gary.wu1(at)huawei.com ?” widoczny na jednym z certyfikatów (warto zauważyć, że do certyfikatu udało się również znaleźć klucz prywatny): Badacze zgłosili tę ciekawostkę do Cisco, które opublikowało stosowną informację. Tutaj z kolei…
Czytaj dalej »
Tych, którzy myśleli, że to nasz rządowy poradnik – niestety musimy rozczarować. Dokument (z czerwca tego roku) został opracowany przez rząd australijski, ale jest na tyle ogólny, że skorzystać z niego może w zasadzie każdy. Mamy tutaj proste modelowanie ryzyk czy przygotowanie sprzętu przed podróżą (niby oczywiste rzeczy jak: przygotowanie mechanizmu…
Czytaj dalej »
Teoria i praktyka tutaj. Praca aktualizuje w znaczny sposób obecne osiągnięcia, które były ograniczane przez sam algorytm: Compression bombs that use the zip format must cope with the fact that DEFLATE, the compression algorithm most commonly supported by zip parsers, cannot achieve a compression ratio greater than 1032. Jak widać powyżej, można…
Czytaj dalej »
Ciekawe pytanie o zachowanie Windows 95: I was playing Hypnospace Outlaw, a game about a retro-themed OS. This OS has a peculiar behavior that when loading a webpage, wiggling the mouse cursor will load the page faster. Ktoś odpowiada, tak tak, to znany ficzer (to znaczy bug) Windowsów w dawniejszych…
Czytaj dalej »
Ciekawa (standardowa ;) podatność (czy seria podatności) w kontrolerze: ZipaMicro Z-Wave Controller Model #ZM.ZWUS. Urządzenie to jest stosowane we wdrożeniach inteligentnych domów – m.in. w kwestii otwierania drzwi do mieszkań czy domów. I taki scenariusz przeanalizowali badacze. Po pierwsze okazało się, że hub posiada jeden zahardkodowany klucz na roota. Użycie…
Czytaj dalej »
Cloudflare podał informację o 30 minutowej, globalnej awarii w tym miejscu: Starting at 1342 UTC today we experienced a global outage across our network that resulted in visitors to Cloudflare-proxied domains being shown 502 errors (“Bad Gateway”). The cause of this outage was deployment of a single misconfigured rule within…
Czytaj dalej »
Reklamy na stronach internetowych bywają irytujące (szczególnie jeśli sprawiają, że treść nie jest widoczna). Sposób jest prosty: wystarczy plugin je blokujący, np. uBlock Origin lub wbudowany w antywirusa. Niektórym osobom jednak reklamy nie przeszkadzają, poza tym istnieją strony, które “wymuszają” wyłączenie adblocków (Outlook podczas używania blokera reklam “sztucznie” ogranicza obszar…
Czytaj dalej »
Chodzi o granicę z Kirgistanem, a inspekcji poddawane są zarówno Androidy jak i iPhone-y: Border guards are taking their phones and secretly installing an app that extracts emails, texts and contacts, as well as information about the handset itself. Jak widać, appka nie robi nic groźnego ;)) Choć szczerze mówiąc,…
Czytaj dalej »