Aktualności

Podsumowujemy trochę obecny rok i tym razem parę zdań o projekcie, nad którym pracujemy w tle od paru miesięcy. Nazwa kodowa: rozwal.to premium. Platforma w przeciwieństwie do naszego rozwal.to ma udostępniać: Teorię do każdej kategorii Zadania do zrobienia, ale z przyciskiem: 'pokaż rozwiązanie’ Zadania challenges – czyli bez podpowiedzi Każdy ma generowane…

Wydajemy od jakiegoś czasu zina – sekurak/offline (trzeci numer mamy ukończony, pierwsi dostaną zapisani tutaj). Magazyn chcemy udostępniać bezpłatnie, ale dużo osób pisze, że z chęcią wesprze cały projekt. Pobranie cały czas będzie darmowe – ale z opcją zapłacenia – np. 5 / 10 / 20 / 50 zł ? PS Z…

Tajemnicą poliszynela jest fakt, że sieci infrastruktury krytycznej nikt nie chce testować pod względem ew. naruszeń bezpieczeństwa IT. Nikt nie ma infrastruktury testowej, a testowanie na produkcji… może skończyć się mała katastrofą. Kto za to odpowie? Tak, zgadliście – testujący. Tymczasem parę dni temu, nagły blackout na Ukrainie nasunął liczne…

Przez kilka ostatnich lat byliśmy obecni na Semaforze, który kojarzy się bardziej z tematami audytowymi…, jednak nasze w miarę techniczne prezentacje były oceniane wysoko – w zeszłym roku ponoć nawet najlepiej :) W 2017 roku też będziemy z prezentacją na Semaforze, z kolejnymi praktycznymi tematami. Szykujemy również naprawdę ciekawą praktyczną niespodziankę…

Wszyscy przyzwyczajeni jesteśmy do autoryzacji finansowych transakcji SMS-ami. Bad news – od pewnego czasu NIST chce odejść od tej metody: Out-of-band authentication using the PSTN (SMS or voice) is deprecated, and is being considered for removal in future editions of this guideline. Generator kodów na telefonie? Bad news – co z malware i dostępem do systemu transakcyjnego…

Widać że hack^H^H^H^H^H badacze bezpieczeństwa w Święta mają trochę więcej czasu ;) Tym razem mamy możliwość wykonania kodu w systemie operacyjnym poprzez podatność w popularnej bibliotece PHPmailer: SECURITY Critical security update for CVE-2016-10033 please update now! W skrócie, sama biblioteka reklamuje się tak: Probably the world’s most popular code for…

Chodzi o Exima, który jest zdecydowanie najpopularniejszym serwer pocztowym w Internecie (wg cytowanego badania 54% rynku). Jutro o 10:00 UTC będą znane szczegóły buga, opisanego na razie tak: Possible leak of private information to a remote attacker. Aktualizacja (25.12.2016, 12:10): są już znane szczegóły błędu: Exim leaks the private DKIM signing…

W projekcie nowej ustawy, nie zapomniano też o kryptowalutach. Do raportowania do centralnej bazy rachunków w projekcie jest zobowiązany m.in.: podmiot oferujący produkty i usługi w zakresie przechowywania danych uwierzytelniających niezbędnych do uzyskania dostępu do walut wirtualnych, prowadzący działalność gospodarczą na terytorium Rzeczypospolitej Polskiej. Jakby ktoś się zastanawiał czym jest waluta wirtualna, przygotowano taką definicję: waluta wirtualna – oznacza zbywalne prawo…

Netgear nie pali się do zwiększania podstawowego poziomu bezpieczeństwa na swoich routerach. Niedawno okazało się, że podatnych na wykonanie kodu w OS jest więcej urządzeń niż było to raportowane. A teraz mamy całą serię bugów zapewne będących dla badaczy na wagę złota. Jest to choćby stack overflow (pokazane są też…

Ostatnie głośne zabójstwo rosyjskiego ambasadora w Turcji skończyło się zastrzeleniem napastnika. Oczywiście odpowiednie służby chcą wiedzieć więcej o motywach czy zleceniodawcach całej akcji, w czym zapewne pomogłoby odblokowanie iPhone 4s należącego do zabójcy. Czytelnicy sekuraka kojarzą kilka nowatorskich technik odblokowywania telefonów firmy z Kalifornii… zatem dla rosyjskich służb nie powinien…

Ostatnie podejrzenia dotyczące rosyjskich grup hackerskich nie cichną. Choć Rosjanie konsekwentnie zaprzeczają. Tym razem mamy nową, a przy okazji dość nietypową aferę: Udało się zlokalizować dystrybuowaną na forach (m.in. VKontakte) podrobioną aplikację Попр-Д30.apk, która wykorzystywała obserwowany wcześniej X-Agent – czyli kod umożliwiający na zdalny dostęp do ofiary, a wykorzystywany przez domniemaną…

Banalny błąd zgłoszony do Facebooka w ramach programu bug bounty (wypłacono $5000). W skrócie: zapraszałem kogoś do bycia adminem w mojej grupie, a w linku usuwającym zaproszenie był… podany zarejestrowany w Facebooku e-mail zaproszonego :-) Jak widać, czasem żeby być hackerem, wystarczy umieć uważnie czytać ;-)   –ms

Szyfrowanie plików dla okupu to niestety plaga ostatnich lat. Dlatego warto wspomnieć o każdym narzędziu, które próbuje zablokować tego typu malware. Ransomfree został przygotowany na podstawie analizy przeszło 40 odmian różnego rodzaju ransomware i w ten sposób opracowano wzorce zachowania się tego typu oprogramowania. Mając taką bazę, narzędzie próbuje blokować malware zaraz…

Kiedyś już pisaliśmy o potencjalnych problemach w systemach IT w samolotach. Jeden z badaczy bezpieczeństwa nie bardzo lubi latać samolotem (to pocenie się w trakcie startu :/), więc próbuje skupić uwagę na potencjalnych problemach bezpieczeństwa w systemach bezpośrednio udostępnianych w samolocie pasażerom. Dzięki temu mamy spore opracowanie analizy jednego z…

Artykuły wiodące grudniowego wydania „Linux Magazine”, poświęconego ćwierćwieczu istnienia systemu, to wywiad z twórcą Linuksa, Linusem Torvaldsem, o przyszłości systemu i życiu pozalinuksowym oraz przegląd naprawdę osobliwych dystrybucji. Na dołączonym DVD znajduje się openSUSE Leap 42.2 – Linux dla wymagających. Wewnątrz wydania również: wzbogacanie map OpenStreetMap o dodatkowe informacje z…