Aktualności

Arstechnica donosi o ciekawym projekcie telefonu wykorzystującego popularną dystrybucję Linuksa – Ubuntu. Aquaris E4.5 Ubuntu Edition, kosztuje niecałe 170 EUR, i sprzętowo wygląda nieźle: 4,5 calowy ekran, 4-corowy CPU – Cortex A7 , 1 GB RAM i 8 GB (rozszerzalnej) przestrzeni dyskowej. Wielu z Was ucieszy też pewnie obsługa dual…

W poniedziałek ma zostać opublikowany raport Kaspersky Labs dotyczący kradzieży 300 mln $ z ponad 100 banków i instytucji finansowych z około 30 krajów – na liście jest również Polska.

µBlock (dostępna dla: Firefoxa, Chrome, od niedawna również Safari) to stosunkowo nowa wtyczka blokująca reklamy, a pisana z myślą o: wydajności (małe obciążenie CPU, mała zajętość pamięci) oraz łatwej a zarazem rozbudowanej możliwości konfiguracji. Zarówno benchmarki jak i opinie użytkowników wyglądają naprawdę bardzo dobrze: Jeśli macie dobre wrażenia z używania…

Aplikacja DroidStealth stworzona przez badaczy z holenderskiego uniwersytetu Delft University of Technology nie tylko szyfruje dane ale przede wszystkim stosuje kilka technik, w celu ich ukrycia.

Ostatnimi czasy Microsoftowi ciężko idzie ze sprawnym wydawaniem poprawek bezpieczeństwa. Tymczasem, dwa dni temu na technecie ukazał się ciekawy opis scenariusza wykorzystania dwóch co dopiero załatanych błędów: MS15-011 (Vulnerability in Group Policy Could Allow Remote Code Execution) oraz MS15-014 (Vulnerability in Group Policy Could Allow Security Feature Bypass). Całość polega…

Funkcjonalność deszyfrowania ruchu SSL/TLS w Wiresharku istniała od dawna (oczywiście po podaniu do tego narzędzia odpowiedniego klucza prywatnego, co było możliwe do zablokowania mechanizmem forward secrecy – czyli sam klucz prywatny nie wystarczał do odszyfrowania ruchu). Jednak już od wersji Wiresharka 1.6+ istnieje możliwość bezpośredniego podania klucza symetrycznego sesji SSL/TLS…

Wszystkich czytelników Sekuraka zapraszamy na anglojęzyczne szkolenie warsztatowe „Offensive HTML, SVG, CSS and other Browser-Evil” prowadzone przez znanego badacza bezpieczeństwa aplikacji webowych – Mario Heidericha. Szkolenie organizowane jest przez Securitum.

DARPA, rządowa agencja USA do spraw rozwoju zaawansowanych projektów obronnych, zaprezentowała przedstawicielom Scientific American i dziennikarzom programu 60 minutes z CBS (video) projekt wyszukiwarki internetowej, której zadaniem jest indeksować zasoby Internetu ukryte przed komercyjnymi wyszukiwarkami takimi jaki Google, czy Yahoo.

Kilka dni temu na liście dyskusyjnej full disclosure został opublikowany błąd pozwalający na wykonanie XSS-a w kontekście dowolnej domeny w najnowszych wersjach Internet Explorera. Odkrywca błędu, David Leo, zgłosił ten błąd do Microsoftu 13 października 2014, jednak błąd nie jest wciąż poprawiony. Oryginalny PoC (proof of concept) nie był zbyt czytelny,…

Tym artykułem rozpoczynamy cykl miesięcznych podsumowań wydarzeń ze świata rozgrywek CTF. W środku wyniki turniejów rozegranych w styczniu, informacje statystyczne oraz linki do treści i rozwiązań zadań. Nie zabraknie również polskich akcentów.

Ostatni rok przyniósł nam wiele medialnych podatności, takich jak chociażby POODLE. Powoduje to coraz większe zainteresowanie tematem hardeningu SSL, a to przekłada się na więcej próśb znajomych deweloperów o sprawdzenie konfiguracji SSL. Warto więc zapisać sobie link do narzędzia Mozilli o nazwie SSL Config Generator, aby zaoszczędzić sobie nieco czasu :-). Powyższe narzędzie pozwala przygotować…

Rosyjski portal randkowy, Topface.com, padł ofiarą udanego ataku, w wyniku którego cyberprzestępcy weszli w posiadanie bazy około 20 milionów adresów mailowych. Nie byłoby w tym doniesieniu nic szczególnie istotnego (do takich ataków dochodzi coraz częściej), gdyby nie fakt, że Topface zaproponowało przestępcom „okup”, by nie dopuścić do sprzedaży danych na…

Trochę zeszło nam czasu z wyłonieniem zwycięzców w ostatnim konkursie na najlepszy tekst o bezpieczeństwie… W każdym razie wyniki wyglądają następująco: Pierwsze miejsce – Aleksander Janusz, za pracę: „Szybka Analiza Malware” Nagroda: dostęp do oficjalnych materiałów przygotowujących do CHFIv8  (Computer Hacking Forensic Investigator) + voucher Prime IBT na egzamin. Drugie…

Jeśli macie w głowie pomysł na ciekawy artykuł / news (najlepiej na bazie swoich doświadczeń) to zachęcam do podzielenia się tą wiedzą na sekuraku. Każdy z nas jest zapracowany, więc od razu proponujemy współpracę komercyjną (w formie konkretnego wynagrodzenia per strona tekstu). Jakie tematy nas interesują? Związane z bezpieczeństwem :-)…

Mieliśmy shellshocka, mieliśmy heartbleeda, czas na GHOSTA, który dzisiaj został ogłoszony przez team Qualysa. Błąd tym razem jest przepełnieniem bufora w jednej z funkcji standardowej linuksowej biblioteki glibc: __nss_hostname_digits_dots() – ale można się do niej „dobić” (exploitując podatność) korzystając niezmiernie popularnej rodziny funkcji:   gethostbyname*(). Jak to piszą odkrywcy buga: This…