Aktualności

Ceny macie zaprezentowane w tym miejscu. Największa pojedyncza wypłata to aż $1 000 000 i dotyczy podatności klasy RCE (remote code execution) dotykającą chip Titan M, używany w googlowym Pixel 3: This year, with Pixel 3, we’re advancing our investment in secure hardware with Titan M, an enterprise-grade security chip custom built…

… i kilka jeszcze innych produktów zostało przejętych w ramach konkursu tianfucup, odbywającego się na chińskiej ziemi. Całość to odpowiedź na niezbyt przychylne (delikatnie rzecz ujmując) patrzenie chińskich władz na występowanie rodzimych badaczy na zewnętrznych konferencjach tego typu. Uczestnictwo w lokalnej imprezie jest też podgrzewane naprawdę solidnymi nagrodami. Przykładowo, około…

W największym skrócie, możecie zamówić wejścia na trzy nasze szkolenia otwarte (lista szkoleń objętych promocją poniżej) – płacąc cenę dwóch . Voucher szkoleniowy można wykorzystać aż do końca marca 2020 roku, a wykupione vouchery nie są imienne.

Dostęp do aparatu czy kamery wymaga specjalnych uprawnień, prawda? Ale co jeśli zaatakujemy googlową appkę mającą już taki dostęp? (appka ta instalowana jest na Pixelach czy Samsungach, być może też u innych producentów). W każdym razie podatność umożliwiała zupełnie „niewinnej” appce, która posiada tylko uprawnienia do storage na robienie a następnie…

Strategia: „niech w kontenerze dzieje się co chce – i tak nam nic nie zrobią, bo mamy kontener” nie jest zbyt rozsądna. Otóż jeśli ktoś uzyska możliwość wykonywania kodu w OS w środku kontenera oraz ma lub wyeskaluje uprawnienia do roota, korzystając z tej luki może wyskoczyć z kontenera. CVE-2019-14271…

O wykrytym braku widoczności Iranu z zewnętrznego świata wspominaliśmy krótko na naszym Twitterze. Obecny blackout wynosi już ~4 doby: Co ciekawe również dostęp do zewnętrznego świata (internetu) jest bardzo mocno ograniczony, czy wręcz niemożliwy: (poniżej przykładowe serwery proxy umożliwiające ew. kontakt ze światem zewnętrznym): BBC donosi jednocześnie, że w kraju działa…

Kradzież „na BLIK” często ma początek w przejęciu konta na Facebooku. Później rozsyłane są do znajomych prośby o pilne pożyczenie pieniędzy (BLIK-iem oczywiście). Pieniądze trafiają do oszusta i są wypłacane. Często zarówno banki jak i Policja rozkładają ręce, choć tym razem sprawa zaszła dość daleko. Tym razem udało się pozyskać…

Spotkaliśmy się właśnie z pewnym przykładem socjotechniki pod postacią reklamy. Zaczyna się “konkursem” (ce[.]winfreetoday[.]com/wingames/supermarket-763/PL/step1), w którym możemy wygrać karty podarunkowe do Biedronki, po kilku kliknięciach zostajemy przekierowani na dwie strony z ofertami atrakcyjnych kredytów, po czym widzimy reklamę Citroena i automatycznie (bez naszej aktywności w tym zakresie) otrzymujemy wiadomość e-mail…

Niektórzy użytkownicy zauważyli, że coś się nie zgadza hash udostępnianej przez nas binarki Tak się zaczyna niedawno otwarty wątek na Reddicie. I rzeczywiście wygląda na to, że ktoś podmienił kolportowaną przez projekt Monero binarkę na fałszywą, która dodatkowo kradnie kryptowalutę…: I can confirm that the malicious binary is stealing coins. Roughly…

Ciekawą historię opisuje Polsat News. W skrócie: właścicielka karty płaciła telefonem, z którym powiązana była karta – myślała, że kartę cały czas ma w bezpiecznym miejscu. Z kolei 62 letnia pani która wykonała 771 niewielkich transakcji (na kwotę ~6500 PLN), zeznała że kartę znalazła w automacie z biletami. W obecnej…

Mały status update odnośnie naszej książki o bezpieczeństwie aplikacji webowych (tak, jest ona mocno przydatna również dla programistów / testerów chcących „wdrożyć się” w tematykę bezpieczeństwa). Spis treści tutaj, przykładowy rozdział – tutaj. Garść aktualnych informacji: Przez około 1.5 miesiąca sprzedanych mamy blisko 4800 sztuk Książkę wysłaliśmy już do drukarni, która…

Tutaj krótka relacja w temacie ogłoszenia oferującego ~100 000 USD za hackowanie stosownych celów. A cele te są polityczne: The idea is to pay other hackers who carry out politically motivated hacks against companies that could lead to the disclosure of documents in the public interest. I’m not trying to…

DNSSEC wielu osobom kojarzy się większym bezpieczeństwem usługi DNS. Tymczasem… różnie z tym bywa. Mało osób ma świadomość, że w przypadku korzystania z tej usługi dosyć łatwo można wykonać enumerację skonfigurowanych w DNS-ie nazw domen. Temat ten poruszamy w naszej książce jako jeden z wielu dotyczących możliwości realizacji rekonesansu poddomen:…

Informację podał amerykański CERT, a chodzi o sprzęt Valleylab FT10 oraz Valleylab FX8. Jak widać – są one popularne również w Polsce. Jedno z nich służy do diatermii, drugie to „Platforma elektrochirurgiczna z systemem zamykania naczyń LigaSure oraz resekcją bipolarną”. W czym problem? Podatności mamy trzy, a finalnie można przez sieć,…

WhatsApp jest podatny na wszystkie platformy (Android, iOS): A stack-based buffer overflow could be triggered in WhatsApp by sending a specially crafted MP4 file to a WhatsApp user. The issue was present in parsing the elementary stream metadata of an MP4 file and could result in a DoS or RCE. Facebook…