Aktualności

Chińczycy niecałe 2 miesiące temu opisali podatność w googlowym silniku JavaScript używanym choćby w komponencie WebView czy mobilnej wersji Chrome. Błąd umożliwia przejęcie kontroli nad telefonem.

Reuters donosi o specjalnym oprogramowaniu w Yahoo służącym do skanowania przychodzących e-maili. Całość na życzenie NSA lub FBI. Tego typu rzeczy oczywiście się dzieją, ale zastanawiający jest fakt, że wg Reutersa analizowana była (jest?) przychodząca poczta wszystkich użytkowników (a nie np. wybranej grupy). Proceder miał wg źródeł miejsce w wyniku…

Specjaliści z Cisco opublikowali informację o podatności w przeszło 10-letniej bibliotece OpenJPEG. Wystarczy otworzyć odpowiednio przygotowany obrazek: This particular vulnerability could allow an out-of-bound heap write to occur, resulting in heap corruption and lead to arbitrary code execution (…) Exploitation of this vulnerability is possible if a user were to open…

Jeśli jesteś (nie)szczęśliwym posiadaczem routera DWR-932 B LTE, powinieneś jak najszybciej pomyśleć nad alternatywą, niż czekać na aktualizację firmware. Chyba, że chcesz dołączyć swój domowy / firmowy styk z Internetem do botnetu. Dlaczego? Jak dowiódł Pierre Kim, DWR-932 B LTE, ma wiele luk oraz realizuje swoje funkcje wbrew podstawowym zasadom bezpieczeństwa, które powinny być…

Naukowcy z uniwersytetu Washington pokazali realną możliwość transmisji danych, używając zamiast komunikacji radiowej – ludzkiego ciała. W końcu trudniej przechwycić komunikację 'w ciele’ niż bezprzewodową, prawda?

O opublikowaniu kodu źródłowego doniósł Brian Krebs, ten sam który nie dawno ucierpiał w ~600Gbps ataku DDoS zainicjowanym właśnie przez botnet pracujący na IoT: Sources tell KrebsOnSecurity that Mirai is one of at least two malware families that are currently being used to quickly assemble very large IoT-based DDoS armies. Co więcej, już…

Ciekawy pomysł na walkę z fraudami na kartach kredytowych. Ktoś skopiował numer Twojej karty kredytowej – łącznie z CVC? Będzie on poprawny… maksymalnie do godziny. Dokładniej rzecz biorąc, co godzinę zmieniają się właśnie ostatnie 3 cyfry kodu CVC: Źródłowy artykuł mówi o bankach francuskich, które przygotowują już się do wdrożenia…

Ciekawy wpis dotyczący bugbounty, z przyznaną nagrodą $3 000. W ciekawy sposób można było odczytywać kod źródłowy plików .jsp (i innych), po prostu dodając znak %01 (start of heading jakby ktoś nie wiedział ;P) na koniec URL-a: https://www.victim.tld/password.jsp%01 Sprawdźcie lepiej czy Wasze application serwery nie pozwalają na taki 'ficzer’. –ms

Z racji, że jestem w Trójmieście z małym LAB-em, routerem TP-Linka do rozdania + paroma T-shirtami sekuraka, postanowiliśmy spróbować przygotować naszą imprezę z praktycznymi hack-pokazami w Sopocie.

Całkiem okrągła kwota – ciekawe czy zgarnie ją cytowany ostatnio przez nas  jailbreakowiec? Przy okazji na stronach Zerodium można sprawdzić nowe ceny oferowane za bugi: –ms

Jak to mawiają – z deszczu pod rynnę. OpenSSL łatając 22 września kilka błędów, opisywanych również przez nas (możliwość realizacji DoS-ów), wprowadził nową podatność – oznaczoną jako Critical.

W lekkie panice załatano właśnie błąd w systemd, jeden z najistotniejszych składników wielu Linuksów, posiadający PID=1. Wg autora znaleziska, z dowolnego użytkownika wystarczy wpisać: NOTIFY_SOCKET=/run/systemd/notify systemd-notify „” system przestaje być stabilny, niektórzy raportują też problemy z rebootem: After running this command, PID 1 is hung in the pause system call….

Jak dotąd, w pierwszej połowie 2016 roku ujawniono 974 przypadki naruszenia bezpieczeństwa danych, co doprowadziło do kradzieży (lub utraty) 554 milionów rekordów danych. Jeśli rozbijemy tę statystykę na mniejsze przedziały czasu, to: 3.04 miliona rekordów kompromitowanych było każdego dnia, 126,936 rekordów, co godzinę, 2,116 rekordów, co minutę, 35 rekordów, co…

Ostatnio opisywaliśmy problem z drukarkami HP, które 13 września odmówiły druku na alternatywnych tuszach. Wszystko dzięki wcześniejszemu, sprytnemu wgraniu… odpowiedniej aktualizacji firmware. Do akcji włączyła się organizacja EFF, która pisze do szefa HP używając dość mocnych tez: HP abused its security update mechanism to trick its customers. (…)  HP’s time-delayed anti-feature…

Niedawno założyciel OVH – Octave Klaba, informował o DDoSie wymierzonym w infrastrukturę tej firmy. Atak miał „wagę” prawie 800Gbit/s – więcej niż ostatnia akcja wymierzona w Briana Krebsa. Klaba napisał również, że źródłem ataku był botnet złożony z niemal 150 000 shackowanych kamer i urządzeń DVR, którego maksymalną moc oszacował na…