Aktualności

Problemem okazał się dysk sieciowy – widoczny zresztą jeszcze na Shodanie. Wśród danych międzynarodowego lotniska Stewart International Airport – w stanie Nowy Jork, były np. loginy / hasła do systemów w wewnętrznej sieci. Może to być dodatkowo problematyczne, bo również inne lotniska, korzystające z tych samym systemów IT, mogą mieć… te…

Po ujrzeniu światła dziennego podatności algorytmu SHA-1 (praktyczna możliwość stworzenia kolidujących PDF-ów), deweloperzy Webkit próbowali przygotować patcha chroniącego przeglądarki przed cache poisoning. Jednocześnie wykryli błąd w systemie SVN…

Historia podobna jak w Dirty Cow: CVE-2017-6074  is a double-free vulnerability  I found in the Linux kernel. It can be exploited to gain kernel code execution from an unprivileged processes. Podatność występuje w module do obsługi protokołu DCCP. Szybka metoda sprawdzenia czy mamy w jądrze wkompilowany ten moduł: zgrep CONFIG_IP_DCCP /proc/config.gz Jeśli…

Trochę osób zgłasza w przeciągu ostatnich ~24h niespodziewane wylogowania z usług Google podejrzewając jakiś incydent bezpieczeństwa. W szczególności, jeśli ktoś używa google-owej poczty mógł  zobaczyć znienacka prośbę o kolejne logowanie się na accounts.google.com – co mogło sugerować próbę phishingu czy innego ataku. Dla uspokojenia – sprawa wygląda rzeczywiście dziwnie, ale Google uspokaja,…

Izraelska firma Cellebrite ogłosiła dostępność nowej wersji swojego systemu CAIS – sprzedawanego głównie organizacjom rządowym: Wg serwisu cyberscoop – cena za odblokowanie telefonu nie jest przesadnie wygórowana – bo wynosi w okolicach $1 500. Nowa wersja systemu może być odpowiedzią na wyciek poprzedniej wersji ich flagowego narzędzia (w końcu klient nie będzie…

Sekurak został patronem medialnym x33fcon. Jak ktoś chce na szybko dostać wejściówkę – prośba o rozwiązanie zadania tutaj: https://rozwal.to/zadanie/23 (dwie osoby już zrobiły, na dwie kolejne czekamy – pierwsza dostanie wejście na x33fcon kolejna na PLNOG-a). O samej trójmiejskiej konferencji x33fcon – mam nieco informacji bezpośrednio od organizatorów (poniżej), a wcześniej – mamy jeszcze rabat…

Tavis Ormandy ujawnia szczegóły krytycznego problemu z Cloudflare. Dokładny opis opublikowała też ta ostatnia…

Mamy dla Was ostatnie 3 miejsca na szkolenie z bezpieczeństwa aplikacji webowych. A całość z 40% rabatem (do szkolenia zostało parę dni, wystarczy w uwagach przy zapisie wpisać 'last minute’). O tym praktycznym kursie pisaliśmy już kilka razy, a jest ono wypełnione po brzegi ćwiczeniami – można będzie w szczególności…

Kolizje funkcji hashującej to zazwyczaj koszmar kryptografów – a  szczególnie dotknięty jest w tym przypadku podpis cyfrowy. Podpis, jak pewnie wiecie, zazwyczaj jest dość krótki (nawet dużego, wielomegabajtowego dokumentu). Dlaczego? Bo robiony jest najczęściej nie z całego dokumentu, tylko np. tak: signature = RSA_SIG(SHA-1(dokument)). Co zatem jeśli znajdę dwa różne dokumenty o…

Jakiś czas temu pisaliśmy o przygotowaniach Google-a do uruchomienia GPU w cloud. Dzisiaj stało się to faktem. Za cenę 0,7 USD za godzinę za GPU. Do każdej naszej instancji VM można podłączyć do 8 GPU Nvidii. Obecnie jedyna dostępna karta to NVIDIA K80, która nie jest idealna do np. do crackowania haseł,…

Polecam podsumowanie przygotowane przez przez załogę Kasperskiego. Rozbudowany tekst o tytule Spam and phishing in 2016, jest przeglądem ciekawszych kampanii phishingowych / spamowych, w tym wskazaniem ciekawych trendów (A year of ransomware in spam…). Znajdziecie tam też konkretne przykłady zainfekowanych maili, ale również rozmaite tricki stosowane przez phisherów czy spammerów w…

Co to dużo pisać, podobnie jak ostatnio, mamy tym razem 75 koszulek do rozdania. … wystarczy puścić  maila na sekurak@sekurak.pl – koniecznie z firmowego maila z info: tytuł: koszulka dwa-trzy zdania o sobie ilość koszulek (można max 2 per osoba – ale nie dwie dla siebie :P) + rozmiary adres do…

Kierowana na istotne ukraińskie instytucje operacja, wśród innych danych wyciągała również nagrania audio z zainfekowanych laptopów / komputerów: The operation seeks to capture a range of sensitive information from its targets including audio recordings of conversations, screen shots, documents and passwords. Unlike video recordings, which are often blocked by users simply…

Czy ktoś konkretny ucierpiał finansowo w tym temacie… na razie nie, czy ktoś zgłosił się po odszkodowanie? Chyba też nie… Natomiast bardzo konkretna jest kwota – okrągłe $350 000 000,  które zmniejszyło wcześniej wynegocjowaną wartość przejęcia Yahoo przez Verizon. Jako powód zmniejszenia kwoty sprzedaży podaje się wykrycie dwóch wycieków z Yahoo obejmujących w sumie około…

Już bardzo niedługo (6-7 marca) jesteśmy z prezentacją na warszawskiej konferencji PLNOG. Mam tu prezentację w temacie hackowania IoT – można będzie zobaczyć m.in. na żywo podpisanie się do konsoli debug TP-Linka czy pokaz nowych badań z hackowaniem kamery CCTV firmy Ganz Security (pokaz premierowy). Finalnie będzie tutaj prezentacja jednego URL-a który bez uwierzytelnienia…