Aktualności

Liczne serwisy publikują informację o dostępnej publicznie bazie z wycieku z MySpace. Całość to przeszło 16 GB danych, choć chwilę trzeba poczekać z dostępem do całości – obecnie strona gdzie linkowana jest baza przestała działać (co nie dziwi…). Baza jest zaszyfrowana, ale cytowany wyżej TheCthulhu publikuje hasło na Twitterze: –ms

Hashcat, dostępny od jakiegoś czasu w modelu OpenSource, został dzisiaj udostępniony w wersji 3.0. Zmiany przynoszą między innymi scalenie w jedno narzędzie obsługi krak^H^H^H^H odzyskiwania haseł na CPU i GPU, czy obsługę nowych algorytmów: Keepass 1 (AES/Twofish) and Keepass 2 (AES) VeraCrypt RAR5 WinZip Android FDE (Samsung DEK) ArubaOS Kerberos…

Udostępniono właśnie kolejną wersję znanego standardu dotyczącego zabezpieczenia i testowania aplikacji webowych OWASP ASVS. Wersja 3.0.1 w porównaniu z 3.0 dodaje przeszło 20 nowych sprawdzeń / zaleceń – nie wydaje się to być zatem całkiem kosmetyczna zmiana, na jaką wskazuje niewielka różnica w numeracji. Dokument jest do pobrania ze strony…

Tym razem Tavis Ormandy się nie patyczkuje, i publikuje szczegóły serii krytycznych podatności w rozmaitych antywirusach Symanteca (domyślna konfiguracja): Norton Antivirus, Symantec Endpoint, Symantec Email Security, Symantec Protection for SharePoint/Exchange/Notes/etc.

Miniaturyzacja pełną gębą – wstrzykiwalna kamera o długości 120 mikrometrów. Całość może mieć oczywiste zastosowanie medyczne;  jak piszą badacze: The „imaging system” fits comfortably inside a standard syringe needle, said the team, allowing for delivery into a human organ, or even the brain. Temat może też budzić pewne podejrzenia odnośnie…

TL;DR: Wystarczyło wysłanie skanu sfałszowanego paszportu (nic się nie zgadza poza nazwiskiem ofiary) aby pracownicy Facebooka zmienili numer telefonu i e-mail związany kontem: Jak wyglądało przejęcie konta posiadającego dostęp do stron mających ~1 000 000 polubień? Wystarczyło napisać krótkiego maila: Hi. I don’t have anymore access on my mobile phone number….

O bardziej finezyjnych metodach otwierania zamków pisaliśmy jakiś czas temu… Ale można i tak: –ms

Pamiętacie historię sprzed paru miesięcy gdzie opisywaliśmy jak pewien badacz „ukradł” skimmer z bankomatu i go poddał analizie? Tym razem Ben Tedesco z firmy Carbon Black przebywając na wakacjach w Wiedniu znalazł taki oto przypadek: Wygląda mało podejrzanie? Otóż niekoniecznie: Całość na filmie poniżej: –ms

Tematem przewodnim nowego wydania „Programisty” jest kontrola integralności. Jak można zabezpieczyć się przed użytkownikami, którzy będą chcieli samodzielnie zrobić „upgrade” naszego programu w taki sposób, aby przestał on wymagać podania kodu licencyjnego? W tytułowym artykule tego wydania Michał „Z” Żuberek w miarę przystępny sposób wyjaśnia podstawowe techniki utrudniające crackowanie. Wokół…

Tak mniej więcej zatytułowali swoje badanie Portugalczycy, którzy w ramach oficjalnego programu bug bounty Ubera zgarnęli $18 000. Spośród 6 zgłoszonych błędów najciekawsze wydają się chyba te: Możliwość uzyskania e-maila użytkownika znając jego numer telefonu. Krok pośredni to poznanie tzw. UUID użytkownika (co przydaje się również w kolejnym bugu z poznaniem…

TrendMicro raportuje o wykryciu rodziny malware okrzykniętej zbiorczo „Bezbożnikiem” (ang. Godless). TL;DR: najnowsza odmiana zaczyna rootować urządzenie po zablokowaniu ekranu przez użytkownika, później dociąga złośliwy kod i finalnie daje zdalny dostęp na roota. Jak pisze Veo Zhang: By having multiple exploits to use, Godless can target virtually any Android device…

Po dawce autopromocji, warto wspomnieć, że jak każdy szanujący się serwis o bezpieczeństwie IT – mamy też i swoje szkolenia. Tym razem dwa słowa o zupełnie nowych warsztatach, prowadzonych przez Michała Bentkowskiego.

Czas na autopromocję… ale sami trochę zmusiliście nas do tego ;-)) W każdym razie otrzymałem informację od organizatorów Mistrzostw Polski w Testowaniu Oprogramowania, że moja prezentacja („testy bezpieczeństwa – teoria a praktyka”) otrzymała najlepszą notę w ankietach uczestników:  4.75/5 (gdzie: 5-super, 4-dobrze, 3-tak sobie, 2-słabo, 1-do niczego). Oceniający komentowali ją np. tak:…

Jak co miesiąc, w ramach patronatu, kilka informacji o Linux Magazine.  Artykuł wiodący czerwcowego wydania „Linux Magazine” na temat edukacyjnych dystrybucji Linuksa omawia systemy Sugar, Uberstudent, Edubuntu, Debian Edu, openSUSE Edu Life i UCS@School, których twórcy odpowiadają na potrzeby nauczycieli. Na dołączonym DVD znajduje się Tails 2.3 zapewniający anonimowość i…

Bunt maszyn? Na razie chyba jedynie ciekawostka. W każdym razie Rosjanie promują – nomen omen – promo bota, jako nie wymagającego przerw w pracy, nie chorującego, nie otrzymującego pensji ani nie wymagającego specjalnego ubrania…: Jak się też okazuje, promo-bot swój rozum ma i niewolnikiem bez pensji nie będzie ;) niedawno…