Aktualności

Duma – niższa izba parlamentu rosyjskiego przegłosowała prowadzenie zakazu używania serwerów proxy czy VPN-ów, które umożliwiają dostęp do zasobów umieszczonych na czarnej liście, utrzymywanej przez rosyjski rząd. Co z tym Googlem? No to zobaczcie jak można wejść na sekuraka, korzystając tylko z usługi Google. Zgodnie z nowym prawem (jeśli zostanie…

A dokładniej chodzi o oficjalnie uznaną mniejszość Ujgurów w prowincji Xinjiang. Wg serwisu Bleepingcomputer, aplikacja sprawdza sumy MD5 lokalnych plików i porównuje ją z rządową bazą „zawartości terrorystycznych”. Dodatkowo, przesyła na rządowe serwery dane użytkownika związane z serwisami Weibo oraz WeChat, a do tego dołącza numery IMEI, IMSI a także „dane logowania do…

Ten szkodnik to Adobe Flash Player z iście gargantuiczną liczbą podatności. Wsparcie zakończy się w 2020 roku: (…) we will stop updating and distributing the Flash Player at the end of 2020 and encourage content creators to migrate any existing Flash content to these new open formats. Z naszej strony –…

Taką akcję proponuje firma 32M (w kooperacji z jakże adekwatną kompanią BioHax International). Każdy, pracownik, który chce – dostanie chipa:  Three Square Market (32M) is offering implanted chip technology to all of their employees on August 1st, 2017. Można będzie nim otwierać drzwi, płacić, logować się do komputerów, używać kserokopiarek, itp:…

Autor oryginalnego ransomware Petya udostępnił niedawno klucz prywatny użyty w oryginalnej wersji ransomware Petya. Dla ostatniej odmiany (nazywanej też czasem NotPetya), nie ma (na razie?) możliwości deszyfrowania danych, choć jakiś czas temu pokazała się oferta sprzedaży uniwersalnego klucza prywatnego za 100 BTC. W każdym razie, mamy już dostępną pełną dystrybucję…

Długo ogłaszana książka jest już dostępna. Nie wydał ją nikt inny jak sami twórcy tej chyba najbardziej znanej dystrybucji, przydatnej w testach bezpieczeństwa. O czym jest książka? I tutaj chyba największe (jednak negatywne) zaskoczenie – bardziej o samej instalacji / zarządzaniem Kali Linuksem, niż o testach bezpieczeństwa. W skrócie – o…

Małe przypomnienie, po nagłej śmierci Truecrypta, powstało małe zamieszanie, w szczególności polegające na niepewności, czy będzie dostępna dobra, sprawdzona alternatywa. Jednym z chyba najbardziej obiecujących kontynuatorów Truecrypta został Veracrypt. I po około dwóch latach, projekt cały czas jest rozwijany, a podatności łatane. W tym miesiącu wyszła też kolejna wersja tego…

Niby wszystko gra, nieco po cichu i domyślnie zgadzamy się na przekazanie maili do naszych kontaktów. Jednak obrońców prywatności może to niepokoić, szczególnie że dane da się hurtem wyeksportować do pliku CSV (zawierającego w wielu przypadkach też numery telefonów) i w dużej ilości są to maile prywatne / telefony prywatne. Czasem…

Co się dzieje jeśli ktoś wykradnie Ci klucz prywatny (związany z certyfikatem SSL) i np. go opublikuje? Możesz zgłosić taki wyciek i CA powinien unieważnić taki certyfikat. Ale jak CA sprawdzają czy klucz prywatny, który wyciekł związany jest rzeczywiście z kluczem publicznym w certyfikacie SSL? Różnie z tym bywa, a…

Tym razem ofiarą jest Heatmiser czyli inteligentny inaczej termostat. Cały hack sprowadza się do wyszukania ofiary na shodanie, wejścia na stronę networkSetup.htm urządzenia (bez uwierzytelnienia, a jak?) i odczytania ze źródeł HTML hasła administratora (w plaintext, a jak?). Czy atak jest teoretyczny? Niekoniecznie, niektórzy chwalą się swoimi postępami w hakerce :P ustawiając…

Problem dotyczy gier opartych o podatny silnik Source: CS:Go, Team Fortress 2 czy Portal 2 – to tylko parę przykładów. Jak piszą odkrywcy podatności: Valve’s Source SDK contained a buffer overflow vulnerability which allowed remote code execution on clients and servers. The vulnerability was exploited by fragging a player, which casued a…

Uff, udało się – ledwo tydzień przed BlackHat USA, Apple wypuszcza dużą aktualizację dla swojego  mobilnego systemu operacyjnego iOS. Wersja 10.3.3 koryguje m.in. taką możliwość: An attacker within range may be able to execute arbitrary code on the Wi-Fi chip. To z pewnością echo podatności Broadpwn, która dotyka również świat…

Podatności w bibliotekach to jedna ze zmór ludzi dbających o bezpieczeństwo wdrażanych systemów, ale i deweloperów, którzy często „przymuszani” są do zaktualizowania komponentów używanych w swoich aplikacjach. Pierwszy przykład z brzegu? Proszę, proszę i proszę. I tu z pomocą przychodzi nam projekt OWASP Depencency Check, o którym już dość rozlegle…

Temat nie jest nowy, ale warto przeczytać świeże, dość kompleksowe opracowanie problemu. Przejście po metodach teoretycznie skutecznych, ale w praktyce nie działających, podstawy działania sieci komórkowych – aż po odpowiedzi na pytania typu 'czy można namierzać lokalizację również archaicznych telefonów typu nokia 3310. –ms

Najmniejsza opłata to 1 USD – za pakiet 4 książek – w tym świetnej „The Web Application Hacker’s Handbook„. Jeśli zdecydujecie się zapłacić minimum 8 USD to otrzymacie dodatkowych 5 książek – w tym „The Shellcoder’s Handbook: Discovering and Exploiting Security Holes„. W pakiecie max mamy aż 14 lektur –…