Aktualności

Cablehaunt – podatności w modemach kablowych używanych na całym świecie (również w Polsce). Czy i Ty jesteś na czarnej liście?

15 stycznia 2020, 16:18 | W biegu | komentarzy 6
Cablehaunt – podatności w modemach kablowych używanych na całym świecie (również w Polsce). Czy i Ty jesteś na czarnej liście?

Co tym razem da się zrobić? Wykonać dowolny kod na atakowanym urządzeniu (najczęściej, jeśli nie zawsze, z pełnymi uprawnieniami root). Szczegóły techniczne dostępne są tutaj, a w pewnym skrócie cały atak polega na dwóch etapach: 1. Atak z wykorzystaniem podatności klasy buffer overflow na usługę Spectrum Analyzer dostępną lokalnie (w…

Czytaj dalej »

Używasz RDP na Windows? Lepiej szybko się łataj

15 stycznia 2020, 13:48 | W biegu | komentarze 3
Używasz RDP na Windows? Lepiej szybko się łataj

Poza krytyczną podatnością w core samego Windows, Microsoft załatał również ostatnio kilka krytycznych podatności związanych z RDP. Tym razem podatny jest klient RDP – jeśli ktoś łączy się do odpowiednio przygotowanego serwera, serwer ten może wykonać z naszymi uprawnieniami dowolny kod (na naszym komputerze): CVE-2020-0611 is a remote code execution vulnerability which…

Czytaj dalej »

Krytyczna podatność w Windowsach. Można podrabiać podpis cyfrowy (w tym certyfikaty SSL/TLS).

14 stycznia 2020, 19:39 | Aktualności | komentarze 24
Krytyczna podatność w Windowsach. Można podrabiać podpis cyfrowy (w tym certyfikaty SSL/TLS).

Zaczęło się od niepotwierdzonych przez Microsoft informacji (CVE-2020-0601), mówiących o błędzie w microsoftowym CryptoAPI: the vulnerability in question resides in a Windows component known as crypt32.dll, a Windows module that Microsoft says handles “certificate and cryptographic messaging functions in the CryptoAPI.” W tym samym poście możemy też poczytać, że podatność zgłosiło amerykańskie…

Czytaj dalej »

Ruchoma kamera szpiegowska w nagrobku, odkurzacz z 20 krotnym zoomem i dyskiem 1 TB, …

10 stycznia 2020, 12:25 | W biegu | komentarzy 8
Ruchoma kamera szpiegowska w nagrobku, odkurzacz z 20 krotnym zoomem i dyskiem 1 TB, …

Ciekawostka. Takie „zabawki” reklamowane są przez firmę współpracującą z amerykańskimi służbami. Mamy więc tytułowy nagrobek (strona 99) z ruchomą kamerą, baterią wystarczającą na dwa dni pracy i możliwością słuchania głosu, mamy specjalny odkurzacz z oczywiście zdalnym połączeniem: Część jest bardziej klasyczna, np. kamień z wbudowaną kamerą: Czy mniej rzucające się w…

Czytaj dalej »

Google publikuje exploita którym można (było) zdalnie przejąć pełną kontrolę nad iPhonami

09 stycznia 2020, 20:19 | W biegu | komentarzy 7
Google publikuje exploita którym można (było) zdalnie przejąć pełną kontrolę nad iPhonami

Trzy częściowy techniczny opis podatności można znaleźć tutaj. W skrócie, korzystając z odpowiednio spreparowanej wiadomości iMessage (taki applowy SMS) można było poomijać różne mechanizmy ochronne iPhone-ów, w tym wyskoczyć z sandboksa, finalnie otrzymując pełen dostęp root. Co dalej? Dostęp do SMS-ów, mikrofonu, kodów 2FA, aparatu, danych – w skrócie tak…

Czytaj dalej »

Używasz Citrix Gateway lub ADC? Zaczęło się aktywne wykorzystywanie krytycznej podatności (CVE-2019-19781)

09 stycznia 2020, 11:12 | W biegu | 0 komentarzy
Używasz Citrix Gateway lub ADC? Zaczęło się aktywne wykorzystywanie krytycznej podatności (CVE-2019-19781)

Trochę więcej technicznych informacji dostępnych jest tutaj. W skrócie, można pewnymi prostymi żądaniami HTTP (bez uwierzytelnienia) wykonać kod na Citrix Gateway lub ADC. Podatność jest też aktywnie wykorzystywana: 🚨 In my Citrix ADC honeypot, CVE-2019-19781 is being probed with attackers reading sensitive credential config files remotely using ../ directory traversal (a…

Czytaj dalej »

Firefox właśnie zaczął blokować spamowe popupy o notyfikacjach, za moment dołącza też Chrome

08 stycznia 2020, 12:15 | W biegu | komentarzy 17

Od teraz, w wielu przypadkach mamy o jedno klikanie mniej. Ilu z nas widziało komunikat jak poniżej? Na pewno wielu: Od najnowszego Firefoksa (72) komunikaty te nie będą się wyświetlać, choć jeśli jest ktoś uparty może kliknąć w widoczną poniżej ikonkę dymku i dopiero wtedy zaakceptować powiadomienia: Podobny sposób działania…

Czytaj dalej »

Problem roku 2020 – w Polsce przestały działać niektóre drukarki fiskalne. Błąd daty. Zamykają (niektóre) sklepy.

02 stycznia 2020, 14:57 | W biegu | komentarzy 20
Problem roku 2020 – w Polsce przestały działać niektóre drukarki fiskalne. Błąd daty. Zamykają (niektóre) sklepy.

Problem dotyczy drukarek fiskalnych Delio firmy Novitus. Jakieś szczegóły? Proszę bardzo: Okazało się, że w drukarkach był błąd z aktualizacją daty – po prostu nie można było jej ustawić na 2020 rok. O braku możliwości normalnej sprzedaży biletów pisze Multikino: W związku z awarią drukarek fiskalnych w naszych kinach, zakup…

Czytaj dalej »

Kradzież tożsamości rodziny ze Stargardu. Komornik zajął 100 000 PLN za kredyty, których nie wzięli.

01 stycznia 2020, 13:44 | W biegu | komentarzy 36
Kradzież tożsamości rodziny ze Stargardu. Komornik zajął 100 000 PLN za kredyty, których nie wzięli.

Opis + krótką relację filmową możecie zobaczyć tutaj. Okazuje się, że ktoś wziął sporo pożyczek na dane ofiary: Mariusza Gibalskiego. Wystarczyły do tego dane z dowodu osobistego: Imię i Nazwisko, PESEL i sam numer dowodu. Pozostałe dane widoczne na dokumentach pożyczkowych – takie jak: adres, telefon, e-mail były fałszywe. Fałszywy…

Czytaj dalej »

Policja: proszę przekazać login / hasło do bankowości! Starsza pani: OK. Straciła 92 000 zł.

27 grudnia 2019, 14:33 | W biegu | komentarzy 12
Policja: proszę przekazać login / hasło do bankowości! Starsza pani: OK. Straciła 92 000 zł.

W zasadzie można by tu postawić kropkę i skwitować – przed nami nowa generacja oszustw na wnuczka / policję. Po co przestępcy mają przeszukiwać mieszkanie czy dom jak mogą po prostu zadzwonić i w ten sposób kraść dziesiątki tysięcy? Scenariusz jest/był następujący: W piątek, 13.12.2019 r., do jednej z mieszkanek…

Czytaj dalej »

Zhackowano jedną z aplikacji Virgin Mobile. Wyciekły dane części klientów.

25 grudnia 2019, 23:45 | W biegu | komentarzy 7
Zhackowano jedną z aplikacji Virgin Mobile. Wyciekły dane części klientów.

Najpierw czytelnicy zaalarmowali nad o powiadomieniu otrzymanym od Virgin Media: Nieco później bardziej obszerne oświadczenie przygotowała sama firma: W wyniku zamierzonego, umyślnego ataku, doszło do nieuprawnionego ujawnienia danych rejestrowych (…) tj. imienia, nazwiska, numeru PESEL lub numeru dokumentu potwierdzającego tożsamość części abonentów prepaid Spółki. Dotyczy to 12,5% rejestracji abonentów prepaid…

Czytaj dalej »

Łatajcie Chrome. Magellan 2 – podatność w SQLite umożliwiająca wykonanie kodu w OS.

24 grudnia 2019, 12:32 | W biegu | 0 komentarzy
Łatajcie Chrome. Magellan 2 – podatność w SQLite umożliwiająca wykonanie kodu w OS.

Ekipa Blace Tencent pochwaliła się, że posiada działającego exploita na Chrome. Problem leży dokładniej w bazie SQLite, który może objawiać się takimi efektami: Remote code execution, leaking program memory or causing program crashes. Aby wykorzystać podatność wymagane jest wykonywanie dowolnych zapytań do bazy SQLite („normalnie” czy za pomocą SQL injection)….

Czytaj dalej »

Do wygrania 10 książek sekuraka (i kilka innych nagród :)

23 grudnia 2019, 12:42 | W biegu | komentarzy 5
Do wygrania 10 książek sekuraka (i kilka innych nagród :)

Mamy cały czas trwający konkurs na najciekawsze zdjęcie naszej książki o bezpieczeństwie aplikacji www (zdjęcia można przesyłać aż do 20.01.2020 r.) Jeśli ktoś z kolei chciałby wygrać naszą książkę, jest zaproszony do udziału w CTF-ie: https://hackuj.ksiazka.sekurak.pl/ 10 osób, które jako pierwsze prześlą poprawne cztery flagi otrzymają po jednej książce sekuraka, kolejne pięć:…

Czytaj dalej »

Litwin skazany na więzienie za skuteczny phishing na Google i Facebooka (wytransferował z ich kont około ~500 000 000 PLN)

23 grudnia 2019, 12:00 | W biegu | 0 komentarzy
Litwin skazany na więzienie za skuteczny phishing na Google i Facebooka (wytransferował z ich kont około ~500 000 000 PLN)

5 lat więzienia wydaje się być dość łagodną karą, choć skazany Litwin – Evaldas Rimasauskas – mocno współpracował z organami ścigania. Przypomnijmy – w 2017 roku namierzono człowieka, który wykonał bezczelny phishing na Google oraz Facebooka. Podszywał się pod dostawców sprzętu IT, a schemat działa był dość prosty – rejestrował…

Czytaj dalej »