Aktualności

Sekurak Hacking Party Warszawa – mini relacja

03 grudnia 2018, 16:17 | W biegu | 0 komentarzy

29 listopada zorganizowaliśmy po raz drugi Sekurak Hacking Party w Warszawie w budynku Polsko-Japońskiej Akademii Technik Komputerowych. Zapisało się ok. 250 osób i sala była wypełniona niemal w 100%. Poprowadziłem na tym SHP trzy prezentacje, do których linkuję poniżej: Wykonywanie kodu (RCE) po stronie serwera na siedem sposobów, Dlaczego należy…

Czytaj dalej »

Bezpłatny dostęp do rozwal.to -> lepiej się pospiesz :)

02 grudnia 2018, 16:39 | W biegu | komentarzy 14

Nasz serwis rozwal.to jest zbiorem zadań do hackowania o różnym poziomie trudności. Mamy teorię, filmy (dla przykładu: film o podatności XXE) i właśnie – same zadania. Jeśli ktoś nie wie jak rozwiązać dany temat, może skorzystać z podpowiedzi czy odpowiedzi. Daje on bezpłatny dostęp na 7 dni (można go wykorzystać do 12 grudnia;…

Czytaj dalej »

Wykradanie pamięci z GPU z wykorzystaniem przeglądarki

02 grudnia 2018, 11:53 | W biegu | komentarze 4

Ciekawa (choć mająca już parę lat) praca, pokazująca kilka problemów z bezpieczeństwem zarówno jeśli chodzi o karty NVIDIA jak i AMD. O co dokładniej chodzi? Normalnie jeśli system operacyjny przydziela nam pamięć, jest ona czyszczona. Inaczej dostawalibyśmy ‚losowe’ (ale mogące zawierać istotne elementy) fragmenty pamięci należące do innych użytkowników / procesów….

Czytaj dalej »

Universal Hack and Play – jak przejąć 300 000 routerów bez ich infekcji…?

01 grudnia 2018, 21:18 | W biegu | komentarze 4

Dokładniej chodzi o temat UPnP. Mechanizm ten służy do łatwej, nie wymagającej żadnych uprawnień rekonfiguracji ustawień sieciowych na routerach (głównie tych domowych). Komunikacja UPnP zazwyczaj ma trzy fazy: Rekonesans dość nietypowym requestem HTTP over UDP (tzw. SSDP) Pobranie pliku XML z routera z informacjami o możliwości konfiguracji UPnP na danym…

Czytaj dalej »

Szwedzka policja żąda końca anonimowego internetu. Każdy obywatel miałby mieć cyfrowe ID.

01 grudnia 2018, 19:33 | W biegu | komentarzy 12

Zerknijcie na ten wpis (translator) (alternatywne źródło). W skrócie – anonimowość w necie to duży problem: That people can be anonymous on the internet is a big problem. Policja proponuje więc użycie czegoś w rodzaju cyfrowego dowodu osobistego (digital ID): (…) police therefore propose a so-called state-guaranteed digital ID, which will…

Czytaj dalej »

Mega wyciek z sieci hotelowej Marriott (w paczce też Sheraton/Westin i inne). Wyciekły dane 500 milionów osób!

30 listopada 2018, 16:54 | W biegu | komentarzy 7

Wyciekły dane z centralnego systemu rezerwacji sieci hotelowej Marriott. Najpierw okazało się, że ktoś wysłał zaszyfrowane dane z sieci centralnego systemu rezerwacji Starwood. Poźniej Marriott-owi (czy raczej zatrudnionym przez niego specjalistom) udało się te dane odszyfrować: The company recently discovered that an unauthorized party had copied and encrypted information, and took…

Czytaj dalej »

Aplikacja do zamawiania masaży leczniczych – wyciekły dane (również wrażliwe) przeszło 300 000 użytkowników

29 listopada 2018, 19:57 | W biegu | komentarze 2

Jak to w wielu startupach bywa – security ma najniższy priorytet. Braku bezpieczeństwa w końcu nie widać gołym okiem. No chyba, że przydarzy się wyciek. Taka sytuacja miała miejsce w przypadku aplikacji Urban Massage. Jak widać, można z tej usługi – będącej swego rodzaju Uberem dla fizjoterapeutów – skorzystać bez…

Czytaj dalej »

Słuchawki… z oprogramowaniem umożliwiającym podsłuchiwanie Waszej komunikacji https!

28 listopada 2018, 17:57 | W biegu | komentarze 4

Dokładniej chodzi o oprogramowanie Sennheiser HeadSetup oraz Sennheiser HeadSetup Pro. Doinstalowywało ono do Windows / macOS dwa nowe root certyfikaty CA. Co z tego wynika? Jeśli producent stworzyłby zupełnie inny certyfikat (np. dla serwera https) i podpisałby go swoim kluczem, nasz Windows ufałby takiemu połączeniu bez żadnego ostrzeżenia. W końcu tak w…

Czytaj dalej »

Ktoś wysłał SMS-y podszywając się pod alert Rządowego Centrum Bezpieczeństwa!

27 listopada 2018, 17:08 | W biegu | komentarzy 7

Rządowe Centrum Bezpieczeństwa wysyła SMS-owo informacje do obywateli na terenie Polski. Może być to cały kraj, może być tylko konkretny obszar. Jak czytamy tutaj: Alert RCB będzie rozsyłany do abonentów telefonów komórkowych na zagrożone tereny przez cały rok. Można się go spodziewać o każdej porze dnia i nocy, bez względu…

Czytaj dalej »

Czy kłódka obok adresu https coś znaczy? Tak, że może być to phishing…

27 listopada 2018, 13:06 | W biegu | komentarzy 19

Tym przewrotnym tytułem nawiązuję do panującego od wielu lat mitu, pojawiającego się również w rozmaitych reklamach: masz certyfikat SSL, a twój serwis ma kłódkę przy adresie – jesteś bezpieczny!!! Co ciekawe, bardzo dużo serwisów z których wykradano hasła, właśnie miało HTTPS i kłódkę – po prostu napastnicy wykorzystywali odpowiednią podatność…

Czytaj dalej »

Niemiecka agencja rządowa publikuje wymagania bezpieczeństwa dla domowych routerów. Można uzyskać oznaczenie „bezpieczny router”

26 listopada 2018, 22:18 | W biegu | komentarze 3

Dość szczegółowy dokument można pobrać tutaj. Znajdziemy tutaj m.in wymagania dotyczące: ustawień firewalla (np. jakie usługi nie mogą być dostępne na zewnątrz), minimalnych wymagań dla haseł czy wymaganej dostępności WPA2. W dokumencie są też opisane elementy związane z DNS (łącznie z takimi szczegółami jak kwestia odporności na atak DNS rebinding)…

Czytaj dalej »