Aktualności

Bloomberg: Vodafone zlokalizowało we własnej infrastrukturze backdoory od Huawei

30 kwietnia 2019, 13:33 | W biegu | komentarze 3

Tutaj mamy dość enigmatyczną notatkę w temacie. Zaczyna się dość poważnie: Europe’s biggest phone company identified hidden backdoors in the software that could have given Huawei unauthorized access to the carrier’s fixed-line network in Italy, a system that provides internet service to millions of homes and businesses Backdoory miały być wg…

Czytaj dalej »

Zapraszamy na CyberTek 2019 – będzie nasza prezentacja o rekonesansie sieciowym

26 kwietnia 2019, 11:36 | W biegu | komentarze 2

Jesteśmy patronem medialnym wydarzenia, a dodatkowo 21 maja będziecie mieli możliwość wysłuchania naszej prezentacji (rekonesans sieciowy na żywo). Zapraszamy! Konferencja cyberbezpieczeństwa przemysłowego CyberTek 2019 to profesjonalne wydarzenie techniczne, skierowane zarówno do inżynierów i entuzjastów tajników cyberbezpieczeństwa sieci OT, jak i osób decyzyjnych, na których spoczywa odpowiedzialność za zapewnienie cyberbezpieczeństwa przedsiębiorstw….

Czytaj dalej »

Jak Rosjanie hackowali amerykańskie wybory. Raport Muellera

24 kwietnia 2019, 11:14 | W biegu | 1 komentarz

Raport Roberta Muellera dostępny jest tutaj (część pierwsza; ewentualnie w nieco ładniejszej formie tutaj). Nie będziemy recenzować całego kilkusetstronicowego dokumentu, choć na pewno warto zwrócić uwagę na często dość proste / tanie do przeprowadzenia ataki typu SQL injection: By at least the summer of 2016, GRU officers sought access to state and…

Czytaj dalej »

Wyciekły źródła malware (100k linijek kodu!) wykorzystywanego przez atakującą banki grupę Carbanak

23 kwietnia 2019, 15:01 | W biegu | komentarze 2

Straty których doznały banki w wyniku działalności grupy są szacowane na nawet miliard USD. Tymczasem okazało się, że już w 2017 roki ktoś z rosyjskiego adresu IP, zuploadował kody źródłowe (+ trochę dodatkowych narzędzi) na Virustotal. Archiwa rar dostępne są tutaj: pierwsza część, druga część. Sam kod źródłowy  to około…

Czytaj dalej »

Nokia 9 Pureview – pokazał ominięcie czytnika linii papilarnych paczką gumy do żucia

23 kwietnia 2019, 12:04 | W biegu | 0 komentarzy

Nokia wydała niedawno aktualizację oprogramowania (v4.22) mającą na celu usprawnić działanie zintegrowanego z ekranem czytnika linii papilarnych. Tymczasem jeden użytkownik zauważył coś dziwnego. Można odblokować jego telefon palcem zupełnie innej osoby lub nawet paczką gumy do żucia: Video of the fingerprint sensor unlocking phone with a packet of chewing gum…

Czytaj dalej »

W samochodach Mazdy i Nissana lepiej nie słuchajcie podcastów z %In w nazwie -> crash

17 kwietnia 2019, 18:34 | W biegu | komentarze 2

Podłączasz telefon do samochodu (Bluetoothem) i chcesz słuchać ulubionych podcastów. Wszystko jest OK do momentu gdy w tytule nie ma znaku %. Nie każdy też procent rebootuje system audio: zidentyfikowani winowajcy to np. %n %N %In (a pierwszym PoC-em był normalny podcast: 99% Invisible). Najprawdopodobniej jest to podatność typu format…

Czytaj dalej »

OAuth2, JWT, problemy z autoryzacją, uprawnieniami, klucze API, JWT, … z sekurakiem zaoszczędzisz miesiące pracy

17 kwietnia 2019, 11:58 | W biegu | komentarze 2

Te wszystkie rzeczy na naszym zaktualizowanym szkoleniu z bezpieczeństwa API REST (prezentacja ma już czternaste rozszerzenie; treść cały czas jest uzupełniana o aktualne problemy!). Kurs przeznaczony jest przede wszystkim dla programistów / testerów – ale z wiedzy garściami korzystają też pentesterzy. Nie będziemy Was zalewać pozytywnymi opiniami o szkoleniu –…

Czytaj dalej »

Jak wyciekać dane to w setkach milionów. Zupełnie niezabezpieczone API dostępne przez kilka lat…

17 kwietnia 2019, 10:24 | W biegu | 1 komentarz

Lepiej uczyć się na cudzych błędach… tym razem Hacker News donosi o wycieku danych przeszło 100 milionów użytkowników z największej (natywnie) indyjskiej wyszukiwarki Justdial: Dlaczego piszemy o takim dość egzotycznym przypadku? Otóż jest tutaj jedna lekcja do zapamiętania – dostępny od 2015 roku endpoint API był starym, obecnie nieużywanym mechanizmem. Jednak…

Czytaj dalej »

Smartwatch dla dzieci – każdy mógł je lokalizować, zmieniać lokalizację, słuchać z dowolnego zakątka na świecie

16 kwietnia 2019, 14:59 | W biegu | komentarze 4

Wygląda to na klasyczny przykład wdrażania ciekawego produktu, z nieciekawym podejściem do bezpieczeństwa (czyli żadnym). Podatny sprzęt to australijski Tic Toc Track (w cenie $150 dolarów australijskich). W skrócie, urządzenie łączy się z w zasadzie niezabezpieczonym API. Mając dowolne konto, mieliśmy jednocześnie dostęp do każdej metody API. Np. takiej pobierającej wszystkie…

Czytaj dalej »

Google Sensorvault – wewnętrzna baza lokalizacji telefonów częściowo dostępna dla służb

15 kwietnia 2019, 15:39 | W biegu | komentarzy 7

Dla nikogo chyba dziwnym nie jest fakt, że Google zbiera informacje o lokalizacji telefonów (np. poprzez Google Maps). Może nieco bardziej zastanawiające jest to, że gigant przechowuje te dane w bazie Sensorvault, która częściowo może być (i jest) udostępniana różnym służbom. New York Times pisze o tzw. „geofence warrants”. Czyli np….

Czytaj dalej »