Aktualności

Wygląda na to, że warto poświęcić chwilę, by zweryfikować czy komputery z systemem Windows, które podlegają naszej opiece poprawnie zainstalowały ostatnie łatki bezpieczeństwa. Microsoft w biuletynie bezpieczeństwa donosi o wyeliminowaniu podatności, pozwalającej na zdalne wykonanie kodu w systemie poprzez usługę Windows Search. Analiza przygotowanego opisu jak i wektora CVSS pozwala ustalić, że…

Tym bezpłatnie można pobrać wydaną wydana 3 lata temu pozycję: Building Virtual Pentesting Labs for Advanced Penetration Testing. Opinie można poczytać tutaj. Znajdziemy tutaj zarówno trochę informacji jak przygotować sobie środowisko do pracy, jest trochę rzeczy organizacyjnych (np. tematyka OSSTMM czy NIST 800-115), ale także informacje jak zacząć testować konkretne obszary:…

Może znacie samochody, które automatycznie wykrywają znaki drogowe? Tego typu auta wcale nie muszą być autonomiczne – ot oferują dodatkową pomoc dla kierowcy. Ta funkcja jest o wiele bardziej istotna w pojazdach autonomicznych – w końcu jakoś muszą orientować się na drodze. Pamiętajmy też, że znaki muszą być rozpoznawalne pod…

Jeśli nasze być albo nie być zależy od ekstremalnie wysokiego bezpieczeństwa, możemy schować komputery w bunkrze i unikać połączeń z siecią zewnętrzną. Zwykle jednak, dopóki nie mamy nic wspólnego z bronią jądrową, każda działalność wymaga takiego dostępu, za cenę nieustannego obserwowania, czy ktoś nie próbuje przeniknąć do naszej sieci.

Mamy nową funkcję w znanym serwisie Troy Hunta – haveibeenpwned. Tym razem Troy udostępnia nam możliwość sprawdzenia online czy dane hasło znajduje się na liście tych skompromitowanych (obecnie mamy w bazie około 320 milionów unikalnych rekordów). Czy jest to rozsądne? Mamy mieszane uczucia (wymaga to podania hasła do sprawdzenia, które…

Świadomie lub nie, wielu z nas ma okazje korzystać z aplikacji typu „Desktop Web”, czyli takich, których integralną część stanowi przeglądarka WWW lub przynajmniej interpreter JavaScript. Okazuje się, że często takie rozwiązanie stosowane jest w środowiskach programistycznych (IDE), chociażby do generowania podglądu tworzonego dokumentu Markdown. Skutkom takiego połączenia postanowił przyjrzeć się Matt Austin a wynikami podzielił w opublikowanej prezentacji.

To niezwykle popularne rozszerzenie do Chrome (1 000 000+ użytkowników), zostało ostatnio podmienione na zainfekowaną wersję 0.4.9. Prawdopodobnie było to tylko adware, choć w przypadku działania na podatnej wersji, zaleca się oczywiście zmianę haseł do odwiedzanych ostatnio serwisów. Jak doszło do infekcji? Konto oficjalnego developera zostało przejęte i użyte do zuploadowania…

Przypominamy WannaCry to głośny ransomware, który szarżował dość skutecznie w tym roku. Wiele serwisów donosi, że Marcus Hutchins – człowiek, który zlokalizował i wykupił domenę będącą kill switchem, blokującym ten malware – został aresztowany zaraz po konferencji Defcon (tuż przed odlotem do rodzimego Londynu). Zarzuca mu się stworzenie malware bankowego Kronos, choć pojawiają…

Próbujemy właśnie zrealizować w pełni społecznościowy projekt :) – czyli na naszym facebookowym profilu zapytaliśmy czy ktoś nie chciałby przygotować serii tekstów o Zabbix. Do publikacji na sekuraku. Wprawdzie jeden tekst już mamy… ale jest on raczej wprowadzający i na pewno wymaga odświeżenia. Na marginesie dodam, że sekuraka w ostatnim…

Gizmodo donosi o analizowanej na Defconie starej maszynie używanej w trakcie głosowania w USA, na której znaleziono sporą liczbę rekordów z danymi osobowymi głosujących (ponad 650 000). Inkryminowana maszyna wygląda tak: i jest określana jako check-in machine. Prawdopodobnie chodzi więc o urządzenie gdzie zgłaszamy się na głosowanie i jesteśmy weryfikowani…

Niedawno organizowaliśmy konkurs na rozwal.to z paroma nagrodami pieniężnymi 3×300 pln. W dość szybkim tempie otrzymaliśmy odpowiedzi, a zgodnie z obietnicą publikujemy też rozwiązania :) Zadania rozwiązało dość sporo osób, ale na podium stoją: REV, Nazywam oraz quaker (rozwiązanie przesłane o 23:03 – czyli około 2 godziny po ogłoszeniu zadań) – którzy…

TL;DR – jest możliwość zdalnego wykonania kodu na module GSM w wybranych modelach: BMW, Forda, Infiniti, Nissana.

Może Alexa sama nie udostępni ssh z rootshellem, ale mamy ładny opis jak można zrootować sobie Amazon Echo:

Kiedyś były maszyny z LEGO do łamania pinów na telefonach, a na tegorocznym Defconie pokazano z kolei robota otwierającego sejf. Tym razem celem była maszyna firmy SentrySafe, posiadająca 3 gałki z liczbami od 00 do 99 –  w najgorszym przypadku sejf wymagał podania miliona kombinacji, ale na tak długie sprawdzanie nie…

Nagroda w wysokości $10 800 została przyznana niedawno w ramach bug bounty Twittera.  Jeden z serwerów, a dokładnie jedno z API, było podatne na opisywaną przez nas już dwukrotnie podatność XXE. XML wyglądał jak poniżej, a autor badania do oryginalnego XML-a dołożył tylko oznaczone linijki: POST /api/sxmp/1.0 HTTP/1.1 Host: sms-be-vip.twitter.com…