Ciekawa podatność w hackerone zgłoszona za pomocą serwisu hackerone :P We wspomnianym serwisie, jeśli ktoś znalazł i zgłosił podatność, to poza standardową wypłatą może otrzymać również dodatkowe pieniądze za wykonanie retestu (tj. za sprawdzenie czy podatność została poprawnie załatana). W przypadku jednego requestu HTTP obsługującego proces, możliwe było jego ponowne…
Czytaj dalej »
Zestaw podawanych danych różni się w zależności od źródła, które raportuje wyciek (zapewne trwa jeszcze analiza). Dane zostały opublikowane na Twitterze w formie kalendarza adwentowego. Z wykradzionych danych wskazywane są: wewnętrzne dokumenty partyjne numery kart kredytowych kopie dokumentów ID (dowody osobiste?) numery telefonów prywatne wiadomości i listy Wśród dotkniętych co…
Czytaj dalej »
Ciekawa prezentacja, pokazująca jak zupełnie bez interakcji użytkownika (nie musi się on np. podłączyć do odpowiednio spreparowanej sieci) wykonać dowolny kod na komponencie WiFi (nie ma tam żadnej standardowej ochrony przed podatnościami typu buffer overflow – niespodzianka!), a później przeniknąć do głównego systemu, na którym działa urządzenie. Autor wykonał badania…
Czytaj dalej »
Ostatnio pisaliśmy o rozbudowanej pracy łamiącej bardzo wiele popularnych mechanizmów CAPTCHA. Niedawno z kolei opublikowano badanie dotyczące reCAPTCHA. Pomysł na całość jest dość prosty – pobierzmy plik audio oferowany przez Google, uploadujmy go do serwisu (np. należącego do Google) rozpoznającego mowę – i wpiszmy rozwiązanie. uncaptcha2 działa wg autorów na…
Czytaj dalej »
Na razie udostępniono 10gigabajtową próbkę dokumentów. Chodzi o dwie ogromne firmy ubezpieczeniowe Hiscox Syndicates Ltd oraz Lloyds of London: Hiscox Syndicates Ltd and Lloyds of London are some of the biggest insurers on the planet insuring everything from the smallest policies to some of the largest policies on the planet, and…
Czytaj dalej »
W 2018 roku nasi rodacy zdominowali podium. Pierwsze miejsce zdobyła ekipa Dragon Sector, trzecie – p4. Warto też dodać, że w rankingu sklasyfikowanych zostało przeszło 18 000 ekip. Polacy pozostawili w tyle wiele renomowanych ekip pochodzących m.in. z Rosji, Niemiec, Francji, Stanów Zjednoczonych, Japonii, Tajwanu, Chin czy Korei Południowej. Z kolei…
Czytaj dalej »
Tylko konkretna wiedza, nowe prezentacje, pokazy hackowania na żywo, brak prelekcji reklamowych, a do tego unikalne miejsce całego wydarzenia. To nasze MEGA sekurak hacking party, na które zapraszamy każdego, kto ma jakiekolwiek doświadczenie w IT.
Czytaj dalej »
Co jakiś czas pojawiają się w komentarzach na sekuraku pytania dotyczące naszej książki. Krótki update: pracujemy nad nią :-)
Czytaj dalej »
Ankietę umieściliśmy na naszym facebookowym profilu, zagłosowało około 3200 osób. Wynik jest dość jednoznaczny: Tutaj warto dodać, że mamy dość świadom specyficznych czytelników. Może podobna ankieta w serwisie dla prawników dałaby odwrotny wynik? Zobaczmy na kilka ciekawych komentarzy. 1. Nieco może podkoloryzowane, ale coś w tym jest: Zmniejszyło. Wyłudzenie kredytu…
Czytaj dalej »
Na pytanie można odpowiedzieć prosto – przeglądnijcie zestawienie poniżej. W przeciągu ostatnich lat nie mamy tutaj zbyt dużo zmian – słabe hasła (lub takie zahardcodowane, o których nawet nie wiemy), masa kiepsko skonfigurowanych usług, czy jak zwykle kiepsko rozwiązane kwestie aktualizacji: Jak też widać OWASP zajmuje się nie tylko bezpieczeństwem aplikacji…
Czytaj dalej »
Poszukiwania ogłosiła policja z Gdańska, a info publikuje radio Eska: Włamała się na konto bankowe i ukradła kilkaset złotych. Policjanci poszukują kobiety, która mogła mieć związek ze sprawą. Wizerunek podejrzanej publikujemy w naszym artykule. O co dokładniej chodzi? W tekście mamy raczej dość skąpe informacje: Sprawca włamania dokonał wielu transakcji…
Czytaj dalej »
Omijanie biometryki bazującej na skanie palca – to było (nawet parę razy). Były też sztuczne głowy. Teraz czas na omijanie uwierzytelnienia bazującego na układzie naczyń krwionośnych. Na warsztat zostały wzięte dwa systemy, mające wg badaczy 95% udziału na rynku. Jako konkretny przykład użycia wskazywane są m.in bankomaty w Polsce. Zresztą badacze…
Czytaj dalej »
Cała pula do wypłaty to kilkaset tysięcy euro – a w programie uczestniczy kilkanaście projektów Free/OpenSource, z których korzystają kraje EU. Są tam m.in: Drupal, Putty, 7-zip, Tomcat, Notepad++ czy KeePass. Kryterium doboru było głosowanie, którego wyniki dostępne są tutaj (część projektów była już „maglowana” we wcześniejszych edycjach – np. serwer…
Czytaj dalej »
Czy czeka nas koniec epoki standardowych obrazków CAPTCHA? (tj. przepisz ciąg znaków z obrazka aby udowodnić, że jesteś człowiekiem). Nowa praca prezentuje rozwiązywanie tego typu testów z prędkością około 0.05 sekundy na jedno zadanie (używając standardowego, desktopowego GPU): Experimental results show that our approach can successfully crack all testing schemes,…
Czytaj dalej »
W związku z wejściem RODO/GDPR mamy prawo zażądać przedstawienia naszych danych osobowych, które są przetwarzane w systemie IT danej firmy. Tak postąpił jeden z użytkowników amazon.de – otrzymując dość nietypową paczkę danych… bowiem nie należały one do niego. W przesłanej paczce było m.in. 1700 nagrań audio zebranych przez szpie asystenta…
Czytaj dalej »
