Aktualności

Ciekawy wpis dla wszystkich fanów bezpieczeństwa IoT – od wpięcia się po portu debug: przez zmianę parametrów bootowania (~single mode boot): …znalezienie możliwości wbicia się na nieuprawionego użytkownika bez uwierzytelnienia: aż po nieuwierzytelnionego roota: –ms

Troy Hunt pisze o kolejnym wycieku danych użytkowników – tym razem chodzi o serwis tumbl i 65 milionów rekordów. Co ciekawe jest to wyciek z 2013 roku, który czekał w potencjalnym ukryciu. To już kolejny w ostatnich dniach pakiet wrażliwych danych (po wycieku z LinkedIN – 167 milionów i MySpace…

Wielu badaczy pisze o nowym ransoware – Zcryptor. Scenariusz jest znany: infekcja poprzez spam oraz malvertising, a następnie szyfrowanie plików i prośba okupu (1 BTC, a po kilku dniach 5 BTC). Ciekawostką jest możliwość przenoszenia infekcji przez nośniki USB (malware używa niebyt wyrafinowanego podrzucenia autorun.inf) czy dyski sieciowe – prawdopodobnie…

W ramach stałego sekurakowego patronatu, kilka informacji o nowym Linux Magazine. Artykuły wiodące majowego wydania „Linux Magazine”, poświęcone Raspberry Pi, omawiają wykorzystanie malinki w roli serwera Minecrafta, serwera chmur osobistych z platformą Cozy, otwartoźródłowego centrum multimedialnego z popularnym Kodi, a nawet miernika poziomu dźwięku; na DVD znajduje się Ubuntu 16.04…

3 szkolenia o różnym poziomie zaawansowania, przeszło 50 ćwiczeń i sumarycznie aż 7 dni.

Parę dni temu można było poczytać o sklonowanym Facebooku w Korei Północnej (starcon.net.kp). Teraz okazuje się że ktoś go shackował. Choć 'hackowanie’ to może zbyt duże słowo? Wystarczyło wejść na link admin który był dostępny na samej stronie ;-) –ms

Ekin Patrol to nowy system mający pomagać policji w niezwykle skutecznym wyłapywaniu kierowców łamiących przepisy ruchu drogowego. Pierwsze testy są właśnie przeprowadzane przez organy ścigania z Abu Dhabi.

Jeśli ktoś jeszcze nie zna platformy Magento, krótki opis ze strony Natanela Rubina, osoby która znalazła w tym popularnym systemie e-commerce, co najmniej dwie krytyczne podatności: Magento is an extremely popular eCommerce platform with a 30% share in the eCommerce market. It is used by major corporations, such as Samsung, Nike and Lenovo,…

Sekurak objął patronatem wydarzenie PyCon, stąd publikujemy prośbę o nadsyłanie ciekawych propozycji wystąpień. Właśnie uruchomiono Call for Proposals konferencji PyCon PL 2016, czyli nabór na propozycje prelekcji, warsztatów, paneli dyskusyjnych oraz innych aktywności konferencyjnych.  Propozycje będą przyjmowane do 10 czerwca. Kiedy i gdzie? PyCon PL 2016 to dziewiąta edycja największej konferencji…

Na blogu Talos pokazał się opis dwóch spatchowanych niedawno podatności w 7-zip. Co więcej, inne biblioteki, korzystające z tego popularnego pakera, również mogą być podatne. –ms

Tym razem w ramach patronatu zapraszamy do udziału w II edycji konferencji CyberGOV, dotyczącej bezpieczeństwa IT z perspektywy sektora publicznego, która odbędzie się 17 maja  w Warszawie. Udział w spotkaniu jest bezpłatny dla osób z sektora publicznego. Kluczowymi tematami konferencji CyberGOV będą: – strategia cyberbezpieczeństwa dla RP; – dyrektywa NIS – implementacja w…

Na tegorocznym Confidence będzie można posłuchać mojej świeżej prezentacji: „Internet of Things – Internet of Bugs”. W ramach pokazów na żywo postaram się pokazać m.in. tematykę fizycznego wpinania się w port diagnostyczny na jednym TP-Linków (może uda to się postreamować kamerką USB na żywo – łącznie z dobieraniem się do…

Popularna biblioteka Stuts2, w ostatnim czasie zaliczyła kilka podatności klasy Remote Code Execution, z czego część doczekała się nawet modułu w Metasploicie. Przed naciśnięciem przycisku >panic< oczywiście warto wczytać się w szczegóły błędu, i sprawdzić choćby czy w naszym przypadku jest jak w opisie podatności – czyli atak nie wymaga…

Firma FireEye donosi o podatności w Androidzie (4.3, 4.4, 5.0), która została znaleziona w oprogramowaniu firmy Qualcomm (w ramach pakietu network_manager, który jest składnikiem Android Open Source Project). Podatność została wprowadzona aż w 2011 i przede wszystkich dotyka Androida 4.3 (ok 34% całej „populacji” Androida) – pozostałe systemy są podatne w mniejszym…

Wydaje się, że powoli czas odchodzić od OpenSSL: tym razem wydano paczkę zawierającą poprawki m.in. 2 błędów o poziomie niebezpieczeństwa wysokim. Jedna z nich umożliwia na częściowe odszyfrowanie ruchu (z wykorzystaniem odpisywanego ostatnio przez nas Padding Oracle) – przy pewnych warunkach. Błąd wprowadzono łatając podatność Lucky 13 (CVE-2013-0169), która łatała…