Aktualności

Jeśli ktoś chce szybko mięsa – proszę: mamy tutaj w pełni bojowe exploity (ang. weaponized exploits) zawierające 0-daye na iPhone / Androida (tu będziecie pewnie narzekać że starocie) / Windowsa. Nie brakuje też pakunków zmieniających telewizory Samsunga w ukryte mikrofony. W oryginale: (…) arsenal and dozens of „zero day” weaponized exploits against…

Wpis w formie małej rozrywki intelektualnej, nawiązującej do ostatnio głośnego tematu z kolizją SHA-1. W procedurze, autor pisze o zapisaniu plików na dowolna partycję NTFS. A wcześniej – o rozpakowaniu plików z archiwum 7zip. Dlaczego powyższa sztuczka działa? Wpisujcie pomysły w komentarzach, a ja podrzucę na start 2 hinty: 7ip /…

Backupy jak wiadomo trzeba robić. Warto je również testować, ale także nie udostępniać publicznie. Jest to oczywiste? Niby tak, ale to właśnie przypadkowe, publiczne udostępnienie backupu spowodowało jeden z większych wycieków danych osobowych w historii. Zmieniać hasła na Skype, Hiphata i do wszystkiego. Chyba nas haknęli. To w wolnym tłumaczeniu…

Po żmudnym i mocno nietypowym procesie analizy udało się z pięciu taśm odzyskać grubo ponad 1000 plików zapisanych w Polsce w latach 1973 – 1984.

Wśród nich znaleziono perły, które zostały uznane już jako utracone. Są to choćby źródła oprogramowania minikomputera K-202 (skonstruowany w latach 1970-1973), czym dotykamy samych początków historii polskich komputerów…

Ministerstwo Cyfryzacji opublikowało właśnie dokument: „Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022„. Rzeczywiście w dokumencie jest mowa o bug bounty – ale o tym za moment. Niedługo uczestniczę w panelu dyskusyjnym – m.in. z minister cyfryzacji Anną Streżyńską – jeśli podrzucicie ciekawe pomysły / rozwiązania czy ogólnie komentarze do…

O szkoleniu pisaliśmy jakiś czas temu. Michał Bentkowski – prowadzący ten kurs – jest ostatnio w wyjątkowej formie – ostatnio zdobył 1 miejsce ex aequo w międzynarodowym konkursie: XSSMas Challenge organizowanym przez jednego z topowych badaczy tematów bezpieczeństwa frontendu – Mario Heiderich-a.

Writeup podatności zgłoszonej do Google. Pierwszym problemem okazał się SSRF w domenie toolbox.googleapps.com. Jeśli ktoś jeszcze nie kojarzy tej podatności – mamy jej opis na sekuraku. Później wystarczyło najpierw zbruteforce-ować adres wewnętrznego serwera DNS (sieć 10.x), a następnie już hulaj dusza. Wszystko korzystając z publicznie dostępnego interfejsu widocznego poniżej: –ms

W 2017 roku SQL injection wcale nie chce zniknąć. Tym razem firma Sucuri zlokalizowała tego typu podatność (nie wymagającą uwierzytelnienia) w popularnym pluginie do WordPressa –  NextGEN Gallery. Dla przypomnienia – SQLi umożliwia choćby pełen, nieautoryzowany dostęp do bazy danych (w tym przypadku – bazy podłączonej do WordPressa). Na deser…

Jeśli ktoś używa tego produktu, warto się zaktualizować. Pokazał się dość szczegółowy odpis podatności, dającej dostęp na root na komputerze ofiary. ESET Endpoint Antivirus 6, zlinkowany był statycznie z podatną biblioteką z 2013 roku (do parsowania XML-i), a ta z kolei bazuje na podatnym expacie z 2007 roku(!). Na deser małe pocieszenie…

Akcja na rynku inteligentnych zabawek się rozkręca. Najpierw Barbie, później niemiecka rekomendacja zniszczenia lalki Calya (oskarżenie o ukryte urządzenie szpiegowskie). Teraz przyszła pora na większą „bombę”. Na początek zaczęło się od wycieku, którym zajął się znany nam Troy Hunt. Chodzi o inteligentne misie (CloudPets), które umożliwiają na przesyłanie głosu (przez clouda) do…

Brian Krebs dostarczył kilka nowych zdjęć skimmerów zakładanych na terminale płatnicze. Płacisz za kawę w Starbucksie: przeciągasz kartę, wpisujesz PIN (pilnie go zakrywając), a tymczasem ta maszyna przesyła wszystkie dane za pomocą Bluetooth do koleżki, który cały dzień siedzi w kawiarni z laptopem. I raczej nie czyta newsów :( Albo…

To dla użytkowników nietechnicznych żeby mieli komputer safe and reliable. Funkcja ma się już pojawić w najbliższym Windows 10 Creators Update. Warto pamiętać też o rzeczach, które mamy już teraz, a umożliwiających choćby whitelisting aplikacji. AppLocker opisany w interesujący sposób tutaj, czy wprowadzony dawno temu mechanizm Software Restriction Policy (działa nawet w Windows…

Dziewczyna startująca, dokładniej rzecz ujmując, w półmaratonie (~21,1km), paraduje po zajęciu drugiego miejsca: Czy widzicie coś  podejrzanego na tym zdjęciu? Otóż zostało ono użyte jako jeden z elementów dochodzenia, które finalnie doprowadziło do dyskwalifikacji zawodniczki (za oszustwo). Osoba prowadząca dochodzenia w sprawie prawidłowości przebiegu biegów, postanowiła sprawdzić Jane Seo. Kupiła więc powyższe zdjęcie…

Co powiecie o takim UUID: 01f3cf39-fb6e-11e6-874a-4c72b97ca1e7 ? Czy jest on w pełni losowy, a może udałoby się coś powiedzieć do dacie jego stworzenia? A może wyciągnąć nawet więcej?

Niski koszt (od $110), kompatybilność z samochodami dużej liczby producentów, dostępne biblioteki,  bazowanie na Arduino i wyprodukowanych już kilka różnych prototypów. To w skrócie projekt Macchina M2, promowany hasłem: Learn about the inner workings of your ride and customize it with Macchina’s M2 hardware, an open and versatile development platform. Twórcom…