-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Aktualności

XEN: krytyczna podatność – można z maszyny wirtualnej dostać się do… głównej

27 lipca 2016, 17:55 | W biegu | 1 komentarz

Powtórka z rozrywki. W środowiskach zwirtualizowanych, błędy umożliwiające uzyskanie uprawnień z maszyny guest (czyli tej wirtualnej) na głównym systemie (czyli host), zazwyczaj nic dobrego nie wróżą. Tym razem mamy ponownie tego typu błąd: A malicous PV guest administrator can escalate their privilege to that of the host. Projekt XEN zaznacza: All…

Czytaj dalej »

Wykradanie haseł z LastPass

27 lipca 2016, 17:36 | W biegu | komentarzy 9

LastPass pod ostrzałem: co dopiero jeden z badaczy znalazł lukę w przeglądarkowym pluginie, gdzie wg zwykłej przeglądarki, adres: http://avlidienbrunn.se/@twitter.com/@hehe.php To oczywiście domena avlidienbrunn.se, a wg LastPass-a (jego przeglądarkowego plugina) to twitter.com … A to tylko zajawka, bo… ciężka artyleria została wytoczona właśnie przez Tavisa:   –ms

Czytaj dalej »

Linux Magazine – informacja o najnowszym numerze

25 lipca 2016, 11:14 | W biegu | komentarze 2

W ramach standardowego naszego patronatu, kilka słów o ostatnim Linux Magazine: Artykuły wiodące lipcowego wydania „Linux Magazine” zawierają wskazówki na temat narzędzi i umiejętności potrzebnych nam, aby dyski SSD mogły przyspieszyć działanie naszego serwera. Opisują zarządzanie narzędziami SSD za pomocą TKperfa, przyspieszanie dysku z wykorzystaniem SSD w roli pamięci podręcznej…

Czytaj dalej »

Unia Europejska zapewni bezpłatny audyt bezpieczeństwa dla web serwera Apache i Keepass-a

25 lipca 2016, 09:15 | W biegu | komentarze 4

Oba projekty zostały wybrane w wyniku przeprowadzonej ankiety (Keepass otrzymał około 23% głosów, web serwer Apache – prawie 19%): Niektórzy obawiają się, że finalny raport może być długim i skomplikowanym dokumentem, który nie wiele będzie wnosił (albo będzie wnosił pewne kurioza). Bądźmy jednak dobrej myśli, szczególnie że projekt jest pod obserwacją…

Czytaj dalej »

Sekurak po HTTPS

23 lipca 2016, 14:32 | W biegu | komentarze 24

Od dzisiaj przełączamy się na HTTPS. Wszystkie linki (np. z wyszukiwarek) powinny działać jak należy, przy okazji też udało się naprawić odświeżanie mechanizmu CAPTCHA, o co wielu z Was pytało. Pewnie w najbliższym czasie mogą być lekkie problemy (np. nie wszystkie osadzone wewnątrz tekstów zasoby po HTTPS) – jak coś,…

Czytaj dalej »

W Polsce wprowadzono drugi stopień alarmowy (BRAVO) dla cyberprzestrzeni.

20 lipca 2016, 18:01 | W biegu | komentarze 4

Jak informują różne serwisy, dzisiaj o północy –  na czas Światowych Dni Młodzieży – wprowadzono w Polsce stopień alarmowy ALFA oraz stopień alarmowy BRAVO-CRP dla cyberprzestrzeni. Co to oznacza w kontekście IT? BRAVO to poziom drugi (z czterech) i jest wprowadzany: (…) w przypadku uzyskania informacji o możliwości wystąpienia zdarzenia…

Czytaj dalej »

Masakra w świecie Apple – wykonanie kodu na iPhone oraz OS X – wystarczy wysłać jeden obrazek…

20 lipca 2016, 16:15 | W biegu | komentarze 2

Pamiętacie androidowy Stegefright? (wystarczyło wysłać do ofiary MMS-a aby przejąć jej telefon). Podobna podatność pojawiła się właśnie w iPhone oraz innych systemach od Apple. Wczorajszy Forbes opisuje ją jako „podatność, dzięki której jednym SMSem można ukraść hasła z iPhone„. Podatność CVE-2016-4631 czai się w API: ImageIO, które jest w każdym systemie operacyjnym Apple…

Czytaj dalej »

HTTPoxy – nowa podatność webowa umożliwiająca podsłuch komunikacji HTTP

19 lipca 2016, 00:31 | W biegu | komentarzy 7

Całość umożliwia atak MiTM (podsłuch komunikacji HTTP wychodzącej z serwera) i bazuje na konflikcie nazw zmiennych środowiskowych (a dokładniej zmiennej HTTP_PROXY): RFC 3875 (CGI) puts the HTTP Proxy header from a request into an environment variable called HTTP_PROXY. HTTP_PROXY is a popular environment variable used to configure an outgoing proxy. Czyli jednym z warunków wstępnych…

Czytaj dalej »

Jak nabić wysoki rachunek za telefon Microsoftowi/Instagramowi/Google? Microsoft: This was certainly a vulnerability, and a good one.

17 lipca 2016, 08:55 | W biegu | 0 komentarzy

Ciekawe badanie zgłoszone w ramach programu bug bounty. Pewnie kojarzycie miejsca, gdzie w ramach weryfikacji użytkownika wykonywane jest do nas zautomatyzowane połączenie telefoniczne? Arne Swinnen postanowił sprawdzić czy… podanie jednego z numerów premium spowoduje wykonanie połączenia właśnie tam. Okazało się, że…tak: Mała automatyzacja w burpie, i telefony się rozdzwoniły… ;-)…

Czytaj dalej »