Aktualności

Niedawno pisaliśmy o głośnej serii podatności w Intel Management Engine (podatne są 6/7/8 generacja procesorów Core, Xeony, Atomy…) – atak przeżywa reinstalacje systemu operacyjnego, czy nawet aktualizacje BIOS-u… Ostatnio pokazało się kilka aktualizacji w temacie – m.in. linki do stron producentów, którzy zapewniają aktualizacje (Intel napisał że nie udostępni „ogólnego”…

Nie tak dawno temu HP miało keyloggera w sterownikach audio, tym razem sprawa jest nieco bardziej prozaiczna, bo chodzi o zwykły sterownik do klawiatury. Z jednej strony domyślnie jest on wyłączony (choć można go prosto włączyć posiadając odpowiednie uprawnienia), z drugiej – potencjalny backdoor w oficjalnych sterownikach – to nie…

Kopanie kryptowalut z wykorzystaniem JavaScriptu uruchomionego w przeglądarce to nic nowego.  W końcu jeśli można w JavaScripcie bootować całe systemy operacyjne, to dlaczego nie dało by się uruchomić koparki… Ale jeśli zamkniemy okno przeglądarki, kończymy też działanie skryptu kopiącego, prawda? Niby tak, ale Malwarebytes donosi o nowej technice uruchamiania kodu…

Podatność Dirty Cow została ogłoszona w zeszłym roku. W skrócie – umożliwia ona eskalację uprawnień do root z dowolnego użytkownika. Podatne wtedy były niemal wszystkie jądra Linuksa. Tymczasem właśnie załatano kolejny problem w tym samym miejscu, podatność nie jest tak prosta do wykorzystania, ale autor znaleziska przestrzega przed możliwością dostępu…

Na szczęście to false positive w tekście o XSS-ach, w którym każda linijka kodu była przygotowana ręcznie. Podatność to CVE-2016-3198 (ominięcie Content Security Policy w Microsoft Edge). Sporo osób o nam ten problem zgłaszało – stąd oficjalne info :-)

Sekurak został patronem medialnym Code Europe – stąd publikujemy informacje od organizatorów: Już 5, 7 i 13 grudnia Kraków, Warszawa i Wrocław staną się kolejno stolicami branży IT. To jedyna okazja do spotkania się z ponad 130 specjalistami IT, którzy przyjeżdżają do Polski specjalnie na Code Europe, wśród nich są:…

Przygotowaliśmy dla Was dwa filmy – o podatności XXE (weszła ona ostatnio do zestawienia OWASP Top Ten) oraz o narzędziu Burp Suite. Pierwszy film można oglądnąć / pobrać tutaj (to wersja z podłożonym głosem, po polsku). Tutaj jako eksperyment, dołączyliśmy zewnętrzne napisy (przycisk CC w prawym dolnym rogu): Drugi, dłuższy…

Są instalacje (koparki) używane do ogrzewania pomieszczeń, są eksperymenty z podłączaniem koparek do turbin wiatrowych, a tym razem na facebookowej grupie Tesla Owners Worldwide umieszczone zostało zdjęcie koparki kryptowalut podpiętej do samochodu. Cały pomysł bazuje na darmowym ładowaniu zapewnianym przez Teslę (Lifetime Unlimited Supercharging), uzupełnionym o dość pojemną baterię (nawet…

Właśnie Apple dostał informację o mrożącej krew w żyłach podatności, na najnowszym ich systemie (High Sierra), można dostać uprawnienia root, logując się na niego i podając kilka razy puste hasło (do oporu): Podatność wymaga fizycznego dostępu do uśpionego komputera (lub posiadania dowolnego konta – łącznie z guest), choć problem bez…

Monitoring infrastruktury IT jest w dzisiejszych czasach dużym wyzwaniem. Od takich oczywistości, jak dostępność serwerów czy infrastruktury sieciowej, a kończąc na  poziomie naładowania UPS lub czy drzwi są otwarte w szafach rackowych. Mnogość urządzeń i sposobów ich monitorowania często prowadzi do sytuacji, że wdrażamy kilka niezależnych rozwiązań monitoringu, co po…

Nie wiem czy wiecie, ale Facebook od niedawna daje możliwość tworzenia głosowań, do których można dodać też obrazki: Nowa funkcja to okazja na nowe bugi – i rzeczywiście – wystarczyło dodać do swojego głosowania ID zewnętrznych obrazków (z Facebooka), a serwis je akceptował. Ale co ważniejsze – przy kasowaniu głosowania…

Jeszcze dzisiaj możecie zdobyć dożywotni dostęp do Shodana za jedyne $5 – a jako bonus – dostępny jest czarnopiątkowy podręcznik w modelu „płać ile chcesz” (najmniejsza kwota to $0). Dostępne wersje to pdf/epub/mobi – i całość sprawnie wprowadzi Was w świat Shodana i ogólnie pasywnego rekonesansu. Dla tych, którzy jeszcze…

Na Black Friday mamy dla Was kilka ciekawych promocji, a na deser – info o Sekurak Hacking Party.

Całość planowana jest w porozumieniu z Troyem Huntem, który udostępnia serwis haveibeenpwned. Komunikat mógłby wyglądać np. tak: I docelowo całość ma przede wszystkim uwypuklić konieczność zmiany swojego hasła na takiej domenie. –ms

Jeszcze kilka godzin i za około 1/10 normalnej ceny będzie można  uzyskać pełen dożywotni dostęp do Shodana. Nie będę Was dalej jakoś intensywnie namawiał – bo ten kto ma wiedzieć czym jest Shodan to zapewne już wie :-) My mamy od dawna pełen dostęp i w skrócie – warto je…