Historia podobna jak w Dirty Cow: CVE-2017-6074 is a double-free vulnerability I found in the Linux kernel. It can be exploited to gain kernel code execution from an unprivileged processes. Podatność występuje w module do obsługi protokołu DCCP. Szybka metoda sprawdzenia czy mamy w jądrze wkompilowany ten moduł: zgrep CONFIG_IP_DCCP /proc/config.gz Jeśli…
Czytaj dalej »
Trochę osób zgłasza w przeciągu ostatnich ~24h niespodziewane wylogowania z usług Google podejrzewając jakiś incydent bezpieczeństwa. W szczególności, jeśli ktoś używa google-owej poczty mógł zobaczyć znienacka prośbę o kolejne logowanie się na accounts.google.com – co mogło sugerować próbę phishingu czy innego ataku. Dla uspokojenia – sprawa wygląda rzeczywiście dziwnie, ale Google uspokaja,…
Czytaj dalej »
Izraelska firma Cellebrite ogłosiła dostępność nowej wersji swojego systemu CAIS – sprzedawanego głównie organizacjom rządowym: Wg serwisu cyberscoop – cena za odblokowanie telefonu nie jest przesadnie wygórowana – bo wynosi w okolicach $1 500. Nowa wersja systemu może być odpowiedzią na wyciek poprzedniej wersji ich flagowego narzędzia (w końcu klient nie będzie…
Czytaj dalej »
Sekurak został patronem medialnym x33fcon. Jak ktoś chce na szybko dostać wejściówkę – prośba o rozwiązanie zadania tutaj: https://rozwal.to/zadanie/23 (dwie osoby już zrobiły, na dwie kolejne czekamy – pierwsza dostanie wejście na x33fcon kolejna na PLNOG-a). O samej trójmiejskiej konferencji x33fcon – mam nieco informacji bezpośrednio od organizatorów (poniżej), a wcześniej – mamy jeszcze rabat…
Czytaj dalej »
Tavis Ormandy ujawnia szczegóły krytycznego problemu z Cloudflare. Dokładny opis opublikowała też ta ostatnia…
Czytaj dalej »
Mamy dla Was ostatnie 3 miejsca na szkolenie z bezpieczeństwa aplikacji webowych. A całość z 40% rabatem (do szkolenia zostało parę dni, wystarczy w uwagach przy zapisie wpisać 'last minute’). O tym praktycznym kursie pisaliśmy już kilka razy, a jest ono wypełnione po brzegi ćwiczeniami – można będzie w szczególności…
Czytaj dalej »
Kolizje funkcji hashującej to zazwyczaj koszmar kryptografów – a szczególnie dotknięty jest w tym przypadku podpis cyfrowy. Podpis, jak pewnie wiecie, zazwyczaj jest dość krótki (nawet dużego, wielomegabajtowego dokumentu). Dlaczego? Bo robiony jest najczęściej nie z całego dokumentu, tylko np. tak: signature = RSA_SIG(SHA-1(dokument)). Co zatem jeśli znajdę dwa różne dokumenty o…
Czytaj dalej »
Jakiś czas temu pisaliśmy o przygotowaniach Google-a do uruchomienia GPU w cloud. Dzisiaj stało się to faktem. Za cenę 0,7 USD za godzinę za GPU. Do każdej naszej instancji VM można podłączyć do 8 GPU Nvidii. Obecnie jedyna dostępna karta to NVIDIA K80, która nie jest idealna do np. do crackowania haseł,…
Czytaj dalej »
Polecam podsumowanie przygotowane przez przez załogę Kasperskiego. Rozbudowany tekst o tytule Spam and phishing in 2016, jest przeglądem ciekawszych kampanii phishingowych / spamowych, w tym wskazaniem ciekawych trendów (A year of ransomware in spam…). Znajdziecie tam też konkretne przykłady zainfekowanych maili, ale również rozmaite tricki stosowane przez phisherów czy spammerów w…
Czytaj dalej »
Co to dużo pisać, podobnie jak ostatnio, mamy tym razem 75 koszulek do rozdania. … wystarczy puścić maila na sekurak@sekurak.pl – koniecznie z firmowego maila z info: tytuł: koszulka dwa-trzy zdania o sobie ilość koszulek (można max 2 per osoba – ale nie dwie dla siebie :P) + rozmiary adres do…
Czytaj dalej »
Kierowana na istotne ukraińskie instytucje operacja, wśród innych danych wyciągała również nagrania audio z zainfekowanych laptopów / komputerów: The operation seeks to capture a range of sensitive information from its targets including audio recordings of conversations, screen shots, documents and passwords. Unlike video recordings, which are often blocked by users simply…
Czytaj dalej »
Czy ktoś konkretny ucierpiał finansowo w tym temacie… na razie nie, czy ktoś zgłosił się po odszkodowanie? Chyba też nie… Natomiast bardzo konkretna jest kwota – okrągłe $350 000 000, które zmniejszyło wcześniej wynegocjowaną wartość przejęcia Yahoo przez Verizon. Jako powód zmniejszenia kwoty sprzedaży podaje się wykrycie dwóch wycieków z Yahoo obejmujących w sumie około…
Czytaj dalej »
Już bardzo niedługo (6-7 marca) jesteśmy z prezentacją na warszawskiej konferencji PLNOG. Mam tu prezentację w temacie hackowania IoT – można będzie zobaczyć m.in. na żywo podpisanie się do konsoli debug TP-Linka czy pokaz nowych badań z hackowaniem kamery CCTV firmy Ganz Security (pokaz premierowy). Finalnie będzie tutaj prezentacja jednego URL-a który bez uwierzytelnienia…
Czytaj dalej »
Jeśli ktoś jeszcze nie zna naszego zina – polecam zerknąć tutaj. Część z naszych czytelników prosiła o częstsze wydawanie magazynu kosztem nawet mniejszej ilości treści… a tymczasem #4 będzie: a) szybko b) z dużą ilością tekstów o tematyce bezpieczeństwa aplikacji webowych. W czwartym numerze znajdziecie m.in. rozbudowany tekst o hardeningu…
Czytaj dalej »
Jak macie ustawione Wasze smartfony / lapotopy? Czy podłączają się automatycznie do sieci WiFi – w szczególności otwartych – z których wcześniej korzystaliście? Może to być błąd, w szczególności na wydarzeniach związanych z bezpieczeństwem… Przekonali się o tym uczestnicy chyba największego eventu na świecie związanego z bezpieczeństwem – konferencji RSA, którzy…
Czytaj dalej »
