Aktualności

Osobiście cały czas mamy mieszane zdanie o chińskich mikro backdoorach umieszczanych w serwerowych płytach głównych. W każdym razie, tym razem chodzi o implant do karty sieciowej na jednym z serwerów firmy telekomunikacyjnej w USA. W nowym artykule jest już wskazana konkretna osoba, która przesłała dowody – Yossi Appleboum: The security expert,…

Zawsze zadziwiali mnie ludzie, którzy wierzą że „procedurą można uczynić świat bezpieczniejszy”. Masz przygotowaną politykę bezpieczeństwa… a – to na pewno dobrze chronisz dane osobowe :) Dokumentacja jest oczywiście potrzebna, ale naszym zdaniem corem zabezpieczeń w przypadku systemów IT powinna być dobrze zarządzana technologia. No właśnie, wracając do technologii –…

Tutaj można zobaczyć świeże opracowanie, pokazujące m.in. częściowe wyniki z testów bezpieczeństwa rozmaitych systemów obronnych, realizowanych w DOD (Department of Defence USA). USA planują obecnie wydać około 1,6 biliona (en. trillion) dolarów na pakiet nowoczesnej broni i byłoby nieco głupio gdyby takie ‚zabawki’ udało się przejąć za pomocą nieśmiertelnej pary:…

W skrócie, niezabezpieczone API Google+ umożliwiało nieautoryzowany dostęp do danych użytkowników: imię, e-mail, zawód, płeć, wiek. Podatny użytkownik najpierw musiał dać dostęp do swoich publicznych danych profilu dowolnej, zewnętrznej aplikacji G+ (niegroźne, prawda?). Ale dostęp był dawany również do pól prywatnych oraz do pól prywatnych przyjaciół: When a user gave…

Obszerne wyjaśnienie zarzutów można znaleźć tutaj: Today we are indicting seven GRU officers for multiple felonies each, including the use of hacking to spread the personal information of hundreds of anti-doping officials and athletes as part of an effort to distract from Russia’s state-sponsored doping program. Techniki były różne –…

… czy to bug czy ficzer? :) Ostatnio udało się załatać problem, który uniemożliwiał skasowanie konta na Facebooku użytkownikom którzy utworzyli „dużą liczbę postów”. Podatność ponoć została już załatana, przy okazji Facebook zwiększył też dany sobie czas potrzebny do ostatecznego usunięcia konta – z 14 do 30 dni. –ms

Zarzuty stawiane przez Bloomberga są piorunujące – chiński mikrochip instalowany w płytach głównych, w procesie ich produkcji. W infekcji brał udział największy dostawca serwerowych płyt głównych na świecie (Supermicro): Na celowniku był Amazon, Apple, … w sumie około 30 amerykańskich firm. Co umożliwiał chip? Wg Bloomberga w zasadzie wszystko: During…

Ominięcie uwierzytelnienia w Cisco ASA, XSS-y od kuchni, zagłada JSON Web Token i rekonesans sieciowy. Zapraszamy na Sekurak Hacking Party w Gliwicach!

„Wyciągnięcie” hasła do telefonu od podejrzanego bywa problematyczne. W końcu każdemu zdarza się „zapomnieć”. A tymczasem hasła mają już niedługo stać się przeżytkiem – np. iPhone X umożliwia odblokowanie telefonu twarzą (Face ID)… Jaki więc problem użyć twarzy podejrzanego żeby odblokować telefon? W zasadzie żaden i tak zrobiło FBI, odblokowując…

Ruszamy z nowym, sekurakowym szkoleniem – oczywiście w temacie bezpieczeństwa: wprowadzenie do bezpieczeństwa środowisk cloud. W największym skrócie mamy tutaj: masa case studies (czyli takie a takie problemy bezpieczeństwa były tutaj,  skutkowały tym, a można było się ich pozbyć w taki sposób) przegląd popularnych usług chmurowych (AWS, Google Cloud /…

Wczoraj pisaliśmy o hacku na Facebooka (aktywnie wykorzystywana przez napastników podatność, umożliwiająca przejmowanie kont). Pisało też o tym bardzo wiele światowych serwisów – m.in. Associated Press czy Guardian. Co w tym nietypowego? Ano to że, systemy bezpieczeństwa FB wykrywały ww. posty o temacie jako „spam”, a następnie je blokowały. No więc…

Już w najbliższy poniedziałek mamy aż 4 prezentacje na krakowskiej konferencji PLNOG: O 17:10 poprowadzę na głównej sali pokaz na żywo: kilka gotowych do użycia „z marszu” narzędzi / technik rekonesansu sieciowego. „Zawłaszczyliśmy” też Community Corner gdzie mamy 3 prezentacje: fenomenalny pokaz Artura Czyża o wysyłaniu SMSów a następnie podmianie…

Facebook poinformował o naruszeniu bezpieczeństwa, które skutkowało przejęciem kont użytkowników. Tym razem nie była to „potencjalna luka”, ale podatność przez którą atakujący rzeczywiście przejmowali konta: But it’s clear that attackers exploited a vulnerability in Facebook’s code that impacted “View As” (…) This allowed them to steal Facebook access tokens which they could then…

Jak wiemy IoT to jeden wielki backdoor ;) Władze Kalifornii postanowiły to nieco zmienić, a nowe prawo ma obowiązywać od stycznia 2020 roku. Czytamy tutaj: A manufacturer of a connected device shall equip the device with a reasonable security feature or features that are all of the following: (1) Appropriate…

Mamy już pierwsze benchmarki działania hashcata na nowej karcie od NVIDII.  Wyniki RTX 2080 są imponujące – przeszło 37 miliardów hashy MD5 na sekundę, czy 12 miliardów solonych SHA-1 na sekundę robi wrażenie. W porównaniu z poprzednią generacją kart (GTX 1080) wyniki są średnio o około 60% lepsze (co swoją…