Decyzja o tym, jakie oprogramowanie wykorzystamy w wybranym celu, często podejmowana jest na podstawie analizy czasu potrzebnego na jego wdrożenie oraz sumarycznej ilości funkcji, jakie ten system nam dostarczy. Prawdopodobne jest jednak to, że tam, gdzie priorytetem jest wygodna i czas, w pierwszej kolejności ucierpi bezpieczeństwo.
Czytaj dalej »
No właśnie, kto czyta regulaminy? Żeby to sprawdzić, firma Purple udostępniająca hot spoty WiFi, w zasadach korzystania z nich umieściła następujący zapis: the user may bebe required, at Purple’s discretion, to carry out 1,000 hours of community service. This may include the following: Cleansing local parks of animal waste Providing…
Czytaj dalej »
Cisco załatało właśnie kilka podatności w obsłudze popularnego protokołu SNMP. Podatna jest obsługa wszystkich wersji – SNMP v1, v2c oraz v3: The Simple Network Management Protocol (SNMP) subsystem of Cisco IOS and IOS XE Software contains multiple vulnerabilities that could allow an authenticated, remote attacker to remotely execute code on an affected system…
Czytaj dalej »
Pewnie znacie już działy teksty/narzędzia na sekuraku? To około trzystu unikalnych/autorskich opracowań, które w zdecydowanej większości publikowane są tylko u nas. Chcecie więcej? To czytajcie dalej…
Czytaj dalej »
Ostatnio pisaliśmy o podatności Broadpwn zaznaczając też sceptyczny głos („realnie pewnie nie zadziała…”). A tymczasem ów sceptyczny badacz – Zhuowei Zhang – przedstawił drugą część swojego badania, gdzie pokazuje testowy exploit, rebootujący telefon (+ kernel crash) po podłączeniu się do odpowiednio spreparowanej sieci WiFi. W skrócie: If you’re near a malicious Wi-Fi network,…
Czytaj dalej »
Angielska policja opublikowała film nagrany parę dni temu z operacji siłowego wyciągania całego bankomatu z budynku za pomocą tego typu ładowarki: Jak widać przestępcy nie przejmowali się też zbytnio samym budynkiem, w którym zamontowany był bankomat… Warto też zwrócić uwagę na godzinę całej operacji – około 3 w nocy. To…
Czytaj dalej »
Podatność okryta przez Roberta Święckiego, i właśnie załatana (w wersji 2.4.27). Pierwszy problem (score 7.4 w skali CVSSv2) umożliwia na otrzymanie fragmentu zawartości pamięci z serwera, wysyłając odpowiednie nagłówki do serwera korzystającego z modułu mod_auth_digest. Pamiętacie Heartbleed? Stąd i robocza nazwa podatności mini-Apache-bleed: The value placeholder in [Proxy-]Authorization headers of type…
Czytaj dalej »
Zespół hack^H^H^H^H fascynatów technicznego bezpieczeństwa; osoby piszące na sekuraku, tworzące zadania na rozwal.to czy prezentujące na Sekurak Hacking Party. Luźna atmosfera i wszyscy otwarci na dzielenie się wiedzą. A teraz najważniejsze – atakowanie systemów o różnej skali i z różnych branż, brak nudy…
Czytaj dalej »
Sądy w Szwecji to nie jest polskie tempo. Tam sprawy dzieją się szybko, czasem ekspresowo szybko. Zobaczmy. Jak donosi Bloomberg, i kilka innych serwisów – ofiarą padł Alf Goransoon – szef Securitas AG. Najpierw (marzec 2017) z wykorzystaniem kradzieży tożsamości spróbowano wziąć pożyczkę, a niewiele później wysłano do sądu rejonowego…
Czytaj dalej »
Akcja wydarzyła się w Rumunii. Jak donosi kilka serwisów – profesor kryptografii (brzmi równie dumnie jak profesor hackingu ;-) znalazł maszynę na pchlim targu, gdzie była oferowana jako 'stara maszyna do pisania’ w cenie 100 EUR. Sprzęt został wystawiony na aukcję z ceną wywoławczą 9000 EUR, a sprzedał się za 45 000…
Czytaj dalej »
Wszyscy użytkownicy Microsoft Office zapewne znają krój pisma Calibri – w końcu począwszy od stycznia 2007 roku jest on używany jako domyślny we wszystkich wersjach znanego nam pakietu biurowego. Wtedy też został udostępniony publicznie. Nie wiedziała jednak o tym rodzina Nawaza Sharifa, byłego premiera Pakistanu, który obecnie oskarżany jest o nadużycia korupcyjne. M.in. jego córka…
Czytaj dalej »
W zasadzie tyle w temacie :P Wydawanie nowego typu certyfikatów ma się rozpocząć od stycznia 2018r. Swoją drogą ktoś podzieli się dobrymi/złymi wrażeniami odnośnie działania Let’s Encrypt? –ms
Czytaj dalej »
Wpis na blogu jest dość spory, ale całość sprowadzała się do prostej rzeczy: okazało się, że domeny odpowiadające oficjalnym serwerom nazw dla domeny .io (dig NS io. ) można było śmiało zarejestrować na siebie. No dobra – dokładnie rzecz biorąc – cztery z siedmiu. Przykład takiej nazwy to ns-a1.io Autor cytowanego…
Czytaj dalej »
Najciekawsze materiały lipcowego wydania „Linux Magazine” zawierają analizę tworzenia bardziej czytelnych wyrażeń regularnych z Simple Regex Language, instrukcje zabezpieczania i monitorowania kontenerów w środowiskach Enterprise oraz przegląd interfejsów graficznych dla Systemd. Na dołączonym DVD znajduje się Debian 9. Wewnątrz wydania również: dystrybucje: elegancka, prosta i oparta na Arch Linuksie Chakra…
Czytaj dalej »
Google właśnie wypuścił lipcowy Android Security Bulletin, gdzie wśród całej hordy błędów oznaczonych jako RCE/Critical, jest też CVE-2017-9417 w sterownikach Wi-Fi Broadcoma. Jeśli sam Google nadaje taką flagę dla buga w swoim produkcie, raczej nie może być drobnostka. Pamiętacie podobną historię sprzed paru miesięcy? Wygląda to na podobny i wg autora…
Czytaj dalej »
