Aktualności

Interesujące badanie niemieckiego magazynu c’t. Najpierw okazało się że antywirus od Kasperskiego wstrzykiwał w odwiedzane strony fragment kodu HTML: Samo to w sobie nie jest zabawne, ponieważ JavaScript działający w kontekście naszej przeglądarki mógłby zrobić wszystko (no dobra, jeśli mamy antywirusa to jego właściciele tak czy siak mogą zrobić z…

Biometryka kojarzy się z bezpieczeństwem, bezpieczne też powinny być systemy kontroli dostępu fizycznego. To wszystko prawda chyba że… nie jest kompletnie zabezpieczony jakiś komponent systemu dostępny do tego z Internetu. VPNMentor raportuje o dostępnej publicznie bazie ElasticSearch (dane z systemu Biostar 2), skąd udało się pobrać takie dane jak: Dane…

Wspieramy medialnie tegoroczny Security BSides Warsaw. Zatem kilka informacji bezpośrednio od organizatorów. Scena polskich konferencji poświęconych bezpieczeństwu informatycznemu  ostatnimi czasy tętni życiem. Jak grzyby po deszczu wyrastają nowe, zasilane przez korporacyjne pieniądze wydarzenia, które są nastawione  głównie na prezentowanie produktu czy networking wysoko postawionych  prezesów i managerów. Mało która konferencja dziś…

Kalifornijska tablica rejestracyjna NULL miała uczynić go niewidzialnym, a może być tylko ciekawą, geekową personalizacją? W każdym razie badacz o pseudonimie Droogie najpierw dostał normalny mandat za niepoprawne parkowanie (zdarza się). Co odpaliło całą lawinę, której chyba nikt się nie spodziewał: The next sign was, well, a little more serious: After…

Sypnęło właśnie dużymi podatnościami na system Windows. Tymczasem część antywirusów blokuje oficjalne aktualizacje. Powodem jest sierpniowe przejście Microsoftu na podpis łat z wykorzystaniem algorytmu SHA-2 (zamiast starego SHA-1). Nota bene – oczywiście same algorytmy z rodziny SHA nie służą do podpisu cyfrowego, ale są w nim wykorzystywane. W każdym razie…

Podatności w Remote Desktop Services Microsoft opisuje tutaj:  CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, CVE-2019-1226. Nie owijając zbytnio w bawełnę: W RDP jest podatność klasy RCE, którą można wykorzystać bez uwierzytelnienia przez przesłanie odpowiednio złośliwej komunikacji. Podatność nie wymaga interakcji ofiary, a atakujący może wykonywać dowolne polecenia na docelowym systemie, łącznie z tworzeniem kont z…

Windows umożliwia wysyłanie komunikatów pomiędzy oknami (np. notepad oraz cmd). Okna jednak mogą działać w kontekście różnych użytkowników (np. notepad – normalny użytkownik, cmd administrator. Nie chcielibyśmy raczej mieć nieskrępowanej możliwości komunikacji z takiego notatnika do cmd (wtedy ten ostatni mógłby być potencjalnie zaatakowany). Za ochronę w tym miejscu odpowiada…

Hasła są wprawdzie w czasochłonnym do łamania Bcrypcie, ale o wiele ciekawsze mogą być prywatne wiadomości wymieniane pomiędzy użytkownikami. W przeszło 2-gigabajtowym zrzucie jest prawie 400 000 tego typu wiadomości. Arstechnica wskazuje dość wysoką aktywność członków wyciekłego forum w temacie chęci dostępu do przejętych kont Fortnite: Freshly cracked Fortnite accounts with skins…

Jeśli macie jakieś 5 minut wolnego czasu polecam oglądnąć krótki film poniżej. Pozyskanie numeru telefonu do działu Project Managerów konkretnego produktu, nauka project managerki narzędzi tar oraz gz (jakoś trzeba było spakować te kody źródłowe). Na koniec krok od wpadki…ale nie będziemy spoilerować: –ms

W Skierniewicach pojawiają się w obiegu tzw. banknoty prezentowe zwane również upominkowymi: Jeden z fałszywych banknotów ujawniony został w banku podczas wpłacania pieniędzy przez klienta, drugi wręczono zapracowanej ekspedientce, która nie zauważyła, że otrzymała fałszywy banknot, trzeci również przyjęła ekspedientka, którą poproszono o rozmianę 200 złotych. Tego typu banknot wygląda…

Kolejna ciekawostka związana z ukrytymi kamerami. Ten dość nietypowy przypadek miał miejsce w tym roku w USA. Z instalacją coś poszło nie tak (może wściekłe turbulencje?) (…) a United flight from California to Texas, a female first-class passenger noticed an item with a blue blinking light in the first-class lavatory,…

Wakacyjne ciekawostki. Kamera w gniazdku do prądu: … tu w wersji „rozbebeszonej”   Kamerka w routerze: Klasyka – czyli kamera w czujniku dymu (lub podobnym) – ta rodzina po podłączeniu się po WiFI przeskanowała sieć i namierzyła urządzenie nagrywające właśnie tam:   Kamera w żarówce (!): Kamera w czujce alarmowej:…

Ciekawe badanie Checkpointa. Badacze wykryli kilka podatności klasy buffer overflow w Canonowej implementacji protokołu Picture Transfer Protocol. Protokół ten może być używany zarówno przy połączeniu USB (kamera komputer; małe ryzyko), ale również w przypadku połączenia aparatu do WiFi. Jeśli zatem atakujący w jakiś sposób nakłoni ofiarę do podłączenia się do jego…

San Diego – inaczej zwane przez niektórych „najmądrzejszym miastem Ameryki„. To m.in. za sprawą wdrożonego około 2 lat temu programu paru tysięcy lamp ulicznych, które oszczędzają energię a także w razie potrzebny zapewniają odczyt nagranego video (z dźwiękiem) dla odpowiednich służb. Początkowo nieco eksperymentalny i klasyczny projekt ostatnio za sprawą…

Po niemal 1.5 roku wydana została nowa wersja nmapa. Największe usprawnienie to kompletnie przepisany windowsowy sterownik do wysyłania, odbierania pakietów (poprzedni był dość stary i nierozwijany co powodowało np. spore problemy na Windows 10). Co więcej w tej wersji? Trochę nowych skryptów NSE i masa poprawek oraz usprawnień. Osoby zainteresowane nmap-em…