Szczegóły tutaj, załatana wersja Dockera tutaj (18.09.2) The vulnerability allows a malicious container to (with minimal user interaction) overwrite the host runc binary and thus gain root-level code execution on the host. Prawdopodobnie muszą być spełnione dwie rzeczy: atakujący może startować kontenery (docker run) ze swoim obrazem kontener jest uruchamiany jako root…
Czytaj dalej »
Eksperyment z rozmachem – Rosja ma być odłączona od Internetu (w ramach procedury testowej, na jakiś czas). Całość została zaproponowana pod koniec zeszłego roku, a eksperyment ma na celu zebranie wniosków z realnego odłączenia. Wnioski z kolei mają wpłynąć na ostateczny wygląd ustaw. W draftach wspominanych ustaw, poza konieczną autonomią…
Czytaj dalej »
A więc w skrócie kubek wygląda tak: Ma on 300 ml i w ceramiczny sposób wypalonego sekuraka :) (nie znamy dokładnie nazwy tej techniki). Cena kubka to 30 PLN + koszty wysyłki. Obecnie mamy do sprzedania 60 kubków. Jak dokonać zakupu? Na stronie z biletami na mega sekurak hacking party…
Czytaj dalej »
Te nowe funkcje zauważono w deweloperskich wydaniach Firefoxa: Add cryptomining and fingerprinting protection options to custom content blocking preferences Chodzi oczywiście o strony webowe, które próbują kopać kryptowalutę w naszej przeglądarce (lub próbują nas namierzać w dość nietypowy sposób). Niektórzy wskazują nawet jak ma to wyglądać w interfejsie: Patrząc na…
Czytaj dalej »
Strona projektu tutaj. Repozytorium oprogramowania (OpenSource!) – tutaj. Poniżej – dłuższy filmik prezentujący projekt. Z ciekawostek – mamy tu np. „cloak mode” utrudniającą (uniemożliwiającą?) wszelakie „trackowanie” samochodu. Tzw. misja twórcy FreedomEV wygląda ambitnie: Enable full consumer control over the electric vehicle future Oprogramowanie wymaga posiadania roota na Tesli, ale i na…
Czytaj dalej »
O Shodanie i podobnych narzędziach pisaliśmy nie raz. Tym razem ktoś namierzył urządzenia znanej firmy produkującej m.in, sprzęt kontrolujący temperaturę – dostępne w Internecie. Interfejs przeglądarkowy + brak haseł (dla takich przypadków widzicie zrzuty ekranowe poniżej) lub domyślne hasła admina: nie wygląda to dobrze. W ramach demo, autorzy badania pokazali…
Czytaj dalej »
O ataku na spółkę Cenzin donosi RMF. Scenariusz miał być banalnie prosty: Do spółki przyszło kilka e-maili od osoby lub osób podszywających się pod czeskiego dostawcę broni. W korespondencji poinformowano o zmianie konta, na które Cenzin ma wpłacać pieniądze za dostawy. Osoby odpowiedzialne za finanse dokonały zmian w systemie płatności…
Czytaj dalej »
To dodatkowa, zupełnie nowa prezentacja na naszym mega sekurak hacking party. Zapisy tutaj. Prelekcja jest „nietechniczna” (na tyle na ile prelegent jest w stanie się powstrzymać od technikaliów) i nieco na luzie, o tym dlaczego prelegent jeszcze nie znudził się bezpieczeństwem IT.” Gynvael to jeden z laureatów nagrody Pwnie, którą…
Czytaj dalej »
Niedawno gruchnęła informacja o możliwości prostego podsłuchu iPhonów. Media ekscytują się głównie tym faktem, ale przy okazji najnowszego patcha na iOS (12.1.4) załatano również inne podatności 0-days, które były aktywnie wykorzystywane: Three out of the four vulnerabilities in the latest iOS advisory were exploited in the wild, yikes. Jak widać w świecie mobilnym…
Czytaj dalej »
W złożonych systemach dość trudno zadbać o stosowną kontrolę dostępu do danych (bardziej po ludzku – o implementację uprawnień). Taki problem wydarzył się niedawno w serwisie hackerone: Confidential data of users and limited metadata of programs and reports accessible via GraphQL. Czyli stosownym zapytaniem GraphQL można było pobrać w sposób…
Czytaj dalej »
To nie żarty, Szwajcaria właśnie odpala program publicznego hackowania e-wyborów. Pula nagród to 150 000 franków szwajcarskich. W zakresie są w pełni działające, testowe wybory: https://pit.evoting-test.ch/ – w dokładnie takiej konfiguracji jak planowana wersja produkcyjna. Cieszy również otwartość podejścia – dostępne są kody źródłowe, a wyniki swoich ataków będzie można opublikować….
Czytaj dalej »
Firefox bierze sobie do serca uwagi użytkowników – niedawno zaostrzenie kwestii dotyczących prywatności / trackerów, a już w marcu (Firefox 66) kompletne wyłączenie audio w filmach automatycznie uruchamianych na stronach WWW: Starting with the release of Firefox 66 for desktop and Firefox for Android, Firefox will block audible audio and…
Czytaj dalej »
No dobra, nie taki zwykły ;) musi mieć w środku stosownego exploita. W każdym razie w lutowej paczce aktualizacji dla Androida, Google wskazał m.in. paczkę (a dokładniej trzy) podatności w subsystemie Framework, oznaczone jako Critical RCE (zdalne wykonanie kodu): The most severe vulnerability in this section could enable a remote…
Czytaj dalej »
Dodaliśmy trochę biletów promo na nasze wydarzenie: „Bilet standard – akcja zabierz kumpla”. Można je kupować w paczkach po dwa, a druga osoba dostaje realnie bilet za 50% :) PS Absolutnie każdy bilet ma w cenie porządny lunch, przerwę kawową i paczkę gadgetów. Dla przypomnienia: obecnie mamy zapisanych 820 (płatnych) osób…
Czytaj dalej »
Szczegóły projektu tutaj. Hasła są sprawdzane za pomocą stosownego rozszerzenia do Chrome. Sama baza ma około 4 miliardy wyciekniętych haseł / loginów, choć Google nie pisze w jaki sposób dane te zostały pozyskane. W momencie logowania się do dowolnego serwisu, jeśli nasze dane logowania gdzieś wcześniej wyciekły i znajdują się…
Czytaj dalej »
