Aktualności

Magento: jeśli nie chcecie za chwilę utracić kontroli nad swoim e-commerce, lepiej zaaplikujcie tę łatę!

08 października 2019, 19:12 | W biegu | 1 komentarz
Magento: jeśli nie chcecie za chwilę utracić kontroli nad swoim e-commerce, lepiej zaaplikujcie tę łatę!

Magento wypuściło właśnie paczkę łat. Pierwsza podatność zwala z nóg, bo w zasadzie gorzej być nie może – błąd wyceniony w skali CVSS na 10/10, to możliwość wykonania dowolnego kodu na serwerze (RCE), bez uwierzytelnienia: A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior…

Czytaj dalej »

Jak ukraść milion dolarów? – czyli przykłady technicznych ataków na aplikacje finansowe [nasza prezentacja na Secure]

08 października 2019, 18:11 | W biegu | 0 komentarzy
Jak ukraść milion dolarów? – czyli przykłady technicznych ataków na aplikacje finansowe [nasza prezentacja na Secure]

Temat zaprezentuje Michał Bentkowski (obecnie na 9. pozycji na globalnej liście najlepszych bughunterów Google), autor kilku rozdziałów naszej książki, badacz (ostatnich kilka opracowań: ominięcie zabezpieczeń oferowanych przez DOMPurify, SSTI w systemie szablonów Pebble, analiza ekstremalnie niebezpiecznego elementu <portal>). Na tegorocznym Secure Michał pokaże dwie garści hacków, którym nie opierają się teoretycznie…

Czytaj dalej »

FBI publikuje ostrzeżenie o przełamywaniu mechanizmów 2FA przez cyberprzestępców

08 października 2019, 12:03 | W biegu | komentarzy 6
FBI publikuje ostrzeżenie o przełamywaniu mechanizmów 2FA przez cyberprzestępców

Najpierw dobra informacja, jeśli nie używasz 2FA, nikt nie może więc przełamać tego mechanizmu ;-)) To oczywiście żart, bo korzystanie z dwu-czy wieloczynnikowego uwierzytelnienia jest zdecydowanie zalecane. Najczęstszym przykładem tego typu zabezpieczenia jest znana wszystkim z banków konieczność wprowadzenia dodatkowego kodu (najczęściej przesyłanego SMS-em) przy autoryzacji przelewów (jak więc widać…

Czytaj dalej »

Dostępna nowa wersja VeraCrypta – darmowego, świetnego narzędzia do szyfrowania dysków / danych na pendriveach

08 października 2019, 11:05 | W biegu | 1 komentarz
Dostępna nowa wersja VeraCrypta – darmowego, świetnego narzędzia do szyfrowania dysków / danych na pendriveach

Po nieoczekiwanej „śmierci” TrueCrypt-a dużo osób zaczęło korzystać z VeraCrypta. Narzędzie ma się dobrze: na szczęście jest aktualizowane o nowe funkcje bezpieczeństwa, po drugie łatane są błędy. Ostatnio z tych pierwszych dodano np. ochronę przed częścią ataków klasy cold boot: Erase system encryption keys from memory during shutdown/reboot to help mitigate…

Czytaj dalej »

Oto bomba YAML-owa potrafi zniszczyć API Kubernetesa

07 października 2019, 22:38 | W biegu | 0 komentarzy
Oto bomba YAML-owa potrafi zniszczyć API Kubernetesa

Podatność XML Bomb (aka Billion Laughs Attack) być może jest Wam znana. Taki prosty XML, powoduje powstanie w pamięci miliarda lolów: Ale może mniej osób zna odmianę tego problemu w YAML-u. W Kubernetesie (czy dokładniej oferowanym przez ten produkt API) zgłoszono właśnie podatność YAML Bomb: CVE-2019-11253 is a YAML parsing…

Czytaj dalej »

Nowa podatność masakrująca API RESTowe. Jeśli jesteś programistą lepiej to zobacz…

07 października 2019, 22:27 | W biegu | komentarze 4
Nowa podatność masakrująca API RESTowe. Jeśli jesteś programistą lepiej to zobacz…

Chodzi o niby znaną od dłuższego czasu klasę Mass Assignment, która najwyraźniej przeżywa drugą młodość. Przesyłasz np. JSON-em dane nowego użytkownika do API, co jest mapowane na stosowny obiekt i zapisywane do bazy. Proste ale i niebezpieczne. Bo co się stanie, jeśli ktoś do JSON-a doda klucz „admin”: true ?. Będziemy…

Czytaj dalej »

Reductor: nowy malware w cichy sposób przechwytuje ruch HTTPS. Łata w locie generator liczb pseudolosowych przeglądarek

07 października 2019, 21:51 | W biegu | 0 komentarzy
Reductor: nowy malware w cichy sposób przechwytuje ruch HTTPS. Łata w locie generator liczb pseudolosowych przeglądarek

Mowa o malware  wykrytym przez zespół Kaspersky – na celowniku znajdują się kraje Wspólnoty Niepodległych Państw. Sposoby infekcji są dwa. Pierwszy z nich wykorzystuje pobieranie modułów Reductora przez znane złośliwe oprogramowanie COMpfun. Drugi wektor ataku wykorzystuje warezy, czyli serwisy, z których za darmo można pobrać płatne programy (nie jest to oczywiście…

Czytaj dalej »

Atak na Koalicję Obywatelską i innych użytkowników Twittera. Zmiana hasła nie pomaga (!)

06 października 2019, 21:57 | W biegu | komentarzy 7
Atak na Koalicję Obywatelską i innych użytkowników Twittera. Zmiana hasła nie pomaga (!)

Zobaczcie na tego dość niepokojącego, ale zarazem niewiele mówiącego tweeta: #SilniRazem trwa atak wirusowy na naszą wspólnotę. Nie otwierajcie wiadomości prywatnych z linkiem. One nie pochodzą od waszych znajomych. To wirus ‼️‼️‼️ Podajcie dalej 🔁 — Koalicja Obywatelska ✌️🇵🇱 (@KObywatelska) October 6, 2019 Co to za tajemniczy „wirus”? W dużym…

Czytaj dalej »

Sędzia z Łodzi zgubił pendrive z projektami wyroków, uzasadnieniami, danymi osobowymi…

06 października 2019, 17:00 | W biegu | komentarze 2

O tym fakcie informuje sąd okręgowy w Łodzi. Poza projektami wyroków czy uzasadnień do nich, na nośniku mogła znajdować się cała masa ciekawych danych: Na wskazanym nośniku zapisane były projekty orzeczeń czyli postanowień, wyroków oraz uzasadnień do nich (…) Mogło dojść do opisania schorzeń, rokowań, wskazania czasokresu zwolnienia itp (…) …

Czytaj dalej »

Google za moment udostępni w Chrome mechanizm sprawdzenia czy Twoje hasło nie wyciekło

05 października 2019, 23:24 | W biegu | komentarze 4

Cały mechanizm Google podsumowuje w tym miejscu. Stosowne rozszerzenie do Chrome było dostępne od jakiegoś czasu, do końca roku Google zapowiedział że będzie wbudowane w Chrome. Co więcej już obecnie można korzystać z managera haseł dla konta Google, a niedawno zyskał on funkcję audytu haseł. Lista loginów/haseł zapisanych w przeglądarce…

Czytaj dalej »

Wymagane skanowanie twarzy aby otrzymać numer GSM / dostęp do danych mobilnych [Chiny]

05 października 2019, 17:10 | W biegu | komentarzy 5
Wymagane skanowanie twarzy aby otrzymać numer GSM / dostęp do danych mobilnych [Chiny]

Najpierw dostęp anonimowy, później wymaganie posiadania ID do rejestracji karty SIM. Chiny jednak idą dalej – od grudnia aby uzyskać numer GSM czy dostęp do danych mobilnych należało będzie się poddać skanowaniu twarzy. Stosowne chińskie ministerstwo krok ten tłumaczy oczywiście troską o obywateli :-) MIIT said the step was part…

Czytaj dalej »

Handlował danymi wykradzionymi ze zhackowanych serwerów (na celowniku 100 krajów!). Aktywne sesje, credentiale trzymał w … Excelu?!?

05 października 2019, 12:35 | W biegu | 0 komentarzy

Taka weekendowa ciekawostka. Ukraińska policja ujęła właśnie mężczyznę, który sprzedawał dane ze zhackowanych serwerów. Niby normalna sprawa, warty jednak uwagi jest zmysł biznesowy ‚hackera’. Sprawnie działał zarówno departament reklamy i marketingu: To attract clients, he placed ads on remote sites on specialized sites and forums. Oczywiście sama reklama nic nie…

Czytaj dalej »

Na odkurzaczu Xiaomi można kopać Bitcoiny, choć nie jest to zbytnio wydajne ;-)

04 października 2019, 21:35 | W biegu | komentarze 3

Ciekawa prezentacja (w języku angielskim, plik PDF ze slajdami jest tutaj) dotycząca uzyskiwania uprawnień roota na inteligentnym odkurzaczu od Xiaomi. Przedstawiono m.in. jak dostać się do systemu (w tym przypadku wspierany, ale już trochę przestarzały Ubuntu 14.04 LTS), jak działa chmura Xiaomi oraz w jaki sposób odłączyć urządzenie od tej…

Czytaj dalej »