Aktualności

3 szkolenia o różnym poziomie zaawansowania, przeszło 50 ćwiczeń i sumarycznie aż 7 dni.

Parę dni temu można było poczytać o sklonowanym Facebooku w Korei Północnej (starcon.net.kp). Teraz okazuje się że ktoś go shackował. Choć 'hackowanie’ to może zbyt duże słowo? Wystarczyło wejść na link admin który był dostępny na samej stronie ;-) –ms

Ekin Patrol to nowy system mający pomagać policji w niezwykle skutecznym wyłapywaniu kierowców łamiących przepisy ruchu drogowego. Pierwsze testy są właśnie przeprowadzane przez organy ścigania z Abu Dhabi.

Jeśli ktoś jeszcze nie zna platformy Magento, krótki opis ze strony Natanela Rubina, osoby która znalazła w tym popularnym systemie e-commerce, co najmniej dwie krytyczne podatności: Magento is an extremely popular eCommerce platform with a 30% share in the eCommerce market. It is used by major corporations, such as Samsung, Nike and Lenovo,…

Sekurak objął patronatem wydarzenie PyCon, stąd publikujemy prośbę o nadsyłanie ciekawych propozycji wystąpień. Właśnie uruchomiono Call for Proposals konferencji PyCon PL 2016, czyli nabór na propozycje prelekcji, warsztatów, paneli dyskusyjnych oraz innych aktywności konferencyjnych.  Propozycje będą przyjmowane do 10 czerwca. Kiedy i gdzie? PyCon PL 2016 to dziewiąta edycja największej konferencji…

Na blogu Talos pokazał się opis dwóch spatchowanych niedawno podatności w 7-zip. Co więcej, inne biblioteki, korzystające z tego popularnego pakera, również mogą być podatne. –ms

Tym razem w ramach patronatu zapraszamy do udziału w II edycji konferencji CyberGOV, dotyczącej bezpieczeństwa IT z perspektywy sektora publicznego, która odbędzie się 17 maja  w Warszawie. Udział w spotkaniu jest bezpłatny dla osób z sektora publicznego. Kluczowymi tematami konferencji CyberGOV będą: – strategia cyberbezpieczeństwa dla RP; – dyrektywa NIS – implementacja w…

Na tegorocznym Confidence będzie można posłuchać mojej świeżej prezentacji: „Internet of Things – Internet of Bugs”. W ramach pokazów na żywo postaram się pokazać m.in. tematykę fizycznego wpinania się w port diagnostyczny na jednym TP-Linków (może uda to się postreamować kamerką USB na żywo – łącznie z dobieraniem się do…

Popularna biblioteka Stuts2, w ostatnim czasie zaliczyła kilka podatności klasy Remote Code Execution, z czego część doczekała się nawet modułu w Metasploicie. Przed naciśnięciem przycisku >panic< oczywiście warto wczytać się w szczegóły błędu, i sprawdzić choćby czy w naszym przypadku jest jak w opisie podatności – czyli atak nie wymaga…

Firma FireEye donosi o podatności w Androidzie (4.3, 4.4, 5.0), która została znaleziona w oprogramowaniu firmy Qualcomm (w ramach pakietu network_manager, który jest składnikiem Android Open Source Project). Podatność została wprowadzona aż w 2011 i przede wszystkich dotyka Androida 4.3 (ok 34% całej „populacji” Androida) – pozostałe systemy są podatne w mniejszym…

Wydaje się, że powoli czas odchodzić od OpenSSL: tym razem wydano paczkę zawierającą poprawki m.in. 2 błędów o poziomie niebezpieczeństwa wysokim. Jedna z nich umożliwia na częściowe odszyfrowanie ruchu (z wykorzystaniem odpisywanego ostatnio przez nas Padding Oracle) – przy pewnych warunkach. Błąd wprowadzono łatając podatność Lucky 13 (CVE-2013-0169), która łatała…

Tym razem będziemy mieć prezentację na Quality Meetup w Gliwicach. Całość 12-stego maja i będzie można posłuchać mojej prelekcji o różnych ciekawostkach z obszaru testów penetracyjnych a i zobaczyć kilka ataków na żywo. Wstęp wolny, ale wymagana wcześniejsza rejestracja. –Michał Sajdak

TL;DR Błąd w ImageMagick umożliwia zdalne wykonanie kodu – wystarczy uploadowanie odpowiednio spreparowanego pliku graficznego. Są gotowe exploity, jest też niekompletny fix (na dzień 4.05.2016), a relacje środowiska są dość nerwowe a całe upublicznienie sprawy dość szybkie i momentami chaotyczne. Jako bonus (niezależnie od OS command exec) możliwe są też scenariusze: SSRF,…

Jak informuje fiński serwis Iltalehti, 10-letni Jani otrzymał od Facebooka 10 tys. USD za zgłoszenie luki w Instagramie.

Tym razem skimmer udawał osłonę na pinpad, służącą normalnie do tego żeby utrudnić ujawnienie wpisywanego PIN-u (!): Później okazało się w środku jest urządzenie domowej konstrukcji, posiadające własną kamerę (z detekcją ruchu) i umiejące zapisywać nagrane filmy (z wpisania PIN-u) na karcie SD: Filmy te zresztą udało się cytowanemu badaczowi…