Aktualności

Przechowywanie klucza API w aplikacji mobilnej to nie jest najlepszy pomysł…

15 marca 2019, 12:07 | W biegu | komentarzy 5

Przekonali się o tym deweloperzy jednej z kontrowersyjnych appek o dość nietypowym zadaniu – wskazywanie amerykańskich restauracji, gdzie bezpiecznie jest nosić czapkę z logo ‚Make America Great Again’. Ale zostawmy politykę na boku. Appka napisana w React Native, zaszyty w niej klucz do API oraz adresy URI backendu: Oczywiście można było…

Czytaj dalej »

Odzyskiwanie klucza szyfrującego do Bitlockera (TPM 1.2 / 2.0) – potrzebna lutownica, kable i parę drobiazgów

14 marca 2019, 12:35 | Aktualności | komentarzy 7
Odzyskiwanie klucza szyfrującego do Bitlockera (TPM 1.2 / 2.0) – potrzebna lutownica, kable i parę drobiazgów

Pewnie wielu z Was korzysta z takiego rozwiązania: szyfrowanie dysku Bitlockerem z kluczem zaszytym w TPM. Jest to wygodne, bo przy starcie systemu nie trzeba wpisywać dodatkowego hasła, a jeśli ktoś ukradnie sprzęt to po wyciągnięciu dysku widzi tylko zaszyfrowane dane – klucz jest w TPM i nie da się go wyciągnąć. No właśnie – czy to ostatnie jest prawdą?

Czytaj dalej »

Awaria Facebooka / Instagrama – „to nie atak DDoS”

13 marca 2019, 23:31 | W biegu | komentarze 4

Dzisiaj z różnym skutkiem nie działają usługi oferowane przez Facebooka. Dużo osób nie może zmieniać statusu, lubić komentarzy, postów czy wręcz zalogować się. Facebook w tym ostatnim przypadku wyświetla dość niepozorny komunikat: Wracasz za „parę minut”, ale przecież wyraźnie znowu jest napisane – powinien być dostępny dopiero „za parę minut”…

Czytaj dalej »

Karta płatnicza z czytnikiem linii papilarnych. Płatność NFC bez PIN-u/limitu/podpisu (testy)

13 marca 2019, 15:26 | W biegu | 1 komentarz

Ciekawe rozwiązanie, które będzie testowane na produkcji (realni klienci, realne środku, realne terminale) w jednym z brytyjskich banków. Rozwiązanie wygląda podobnie jak np. Apple Pay powiązane z telefonem, który ma czytnik biometryczny (wybieram płatność, potwierdzam za pomocą skanu palca lub Face ID, przykładam urządzenie do terminala (NFC), płatność zakończona. Tylko……

Czytaj dalej »

Kerberoasting: czyli atakowanie windowsowego Kerberosa – jako bonus narzędzia i garść innych ataków

13 marca 2019, 13:08 | W biegu | 0 komentarzy

Ten post jest na tyle istotny, że warto dla niego napisać nawet jednozdaniowego newsa. Opisuje on kilka ataków na nowoczesne sieci Windows – w tym działający od wielu lat Kerbroasting. W skrócie, po posiadaniu dowolnego konta w sieci Windows (można je pozyskać np. za pomocą wykorzystania WPAD) można namierzyć konkretne…

Czytaj dalej »

send.firefox.com – bezpłatna usługa pozwalająca na łatwe dzielenie plików (szyfrowanie end2end, prywatność)

12 marca 2019, 19:09 | W biegu | komentarzy 7

Po okresie testów – usługa jest dostępna z 2.5GB limitem. Uploadujesz plik (jest on wysyłany do clouda firefoksowego w formie zaszyfrowanej), w wyniku otrzymujesz zwykły URL. URL umożliwia pobranie pliku (istnieje też możliwość zabezpieczenia pliku extra hasłem). Proste, wygodne i zbudowane z myślą o bezpieczeństwie i prywatności użytkowników: With Send,…

Czytaj dalej »

Reagowanie na incydenty bezpieczeństwa IT – bezpłatna dokumentacja

12 marca 2019, 13:24 | Aktualności | komentarzy 5
Reagowanie na incydenty bezpieczeństwa IT – bezpłatna dokumentacja

Duże firmy zapewne taką dokumentację już mają. Małe – na pewno nie, średnie – różnie z tym bywa. W każdym razie udostępniamy zupełnie bezpłatnie dokumentację: Reagowanie na incydenty bezpieczeństwa IT. W założeniach dokumentacja miała być maksymalnie kompaktowa i możliwa do szybkiego wdrożenia (w tym modyfikacji oraz rozbudowy) w małej/średniej firmie….

Czytaj dalej »

JWT (biblioteka Auth0): nie mogę przyjąć twojego sfałszowanego podpisu. Ale jestem uprzejmy – podam ci ten prawidłowy… Podatność miesiąca.

12 marca 2019, 11:46 | W biegu | komentarze 3

Jeśli ktoś zna tematykę JWT (JSON Web Token), to wie że aby uniemożliwić postronnym osobom modyfikacje zawartości tokena (payload), używany jest podpis. Bez weryfikacji podpisu każdy mógłby wygenerować dowolny token i serwer go zaakceptuje. Czyli np. dostajemy bezproblemowo dostęp do funkcji administracyjnych czy innych ciekawych danych. Zobaczmy więc na podatność CVE-2019-7644:…

Czytaj dalej »

Wyciekła baza chińskich kobiet. Dziesiątki parametrów. W tym tajemniczy bool: BreedReady

12 marca 2019, 11:17 | W biegu | komentarzy 5

Baza Mongo z danymi niemal 2 milionów osób. Trudno powiedzieć do czego system był wykorzystywany – na pewno ma jednak podtekst matrymonialny. Składająca się informacji o samych kobietach struktura na następujący skład: single [89%], rozwiedzione [10%], wdowy [1%] Najmłodsza ma 15 lat, najstarsza 95. Mamy tutaj takie dane jak: wiek,…

Czytaj dalej »

Omijanie reguł zapory w routerach Mikrotik

11 marca 2019, 17:14 | W biegu | komentarzy 8

Firma Tenable informuje o odkryciu podatności w firmware RouterOS łotewskiego producenta Mikrotik. Luka CVE-2019-3924 umożliwia wysyłanie pakietów TCP oraz UDP przez port służący do zarządzenia Winbox. Problem związany jest z przekierowywaniem połączeń. Sam port jednak musi być “otwarty”, co wymaga zmiany konfiguracji właśnie poprzez jego opcję “Firewall router”, gdzie decydujemy…

Czytaj dalej »

for ( ; ; ) { window.alert(„dupa”) } – 13-letnia Japonka oskarżona o przestępstwo za publikację takiego „złośliwego exploita”

10 marca 2019, 13:08 | W biegu | komentarze 4

W oryginalnej wersji wyglądało to tak: for ( ; ; ) { window.alert(„ ∧_∧ ババババ\n( ・ω・)=つ≡つ\n(っ ≡つ=つ\n`/  )\n(ノΠU\n何回閉じても無駄ですよ~ww\nm9(^Д^)プギャー!!\n byソル (@0_Infinity_)”) } Policja przesłuchała młodą dziewczynę – w tle dość poważne zarzuty, gdzie pojawiają się takie frazy jak „unauthorized malicious program” czy „criminal act”. Nie skończyło się tylko na problemach 13-latki – policja postanowiła też…

Czytaj dalej »

Porozmawiajmy o bezpieczeństwie – otwarte forum sekuraka

09 marca 2019, 11:20 | W biegu | komentarzy 35

Może takie miejsce się przyda? Planujemy tam publikować tematy, które normalnie nie pojawią się na sekuraku, czasem AMA,  prosimy też o podrzucanie Waszych ciekawych tematów do dyskusji. To ostatnie jest głównym celem istnienia grupy – mamy całkiem sporo doświadczonych w interesującym nas temacie czytelników. A co tysiące głów to nie…

Czytaj dalej »

Wewnętrzna sieć Citrix-a zhackowania. O włamaniu dowiedzieli się od FBI…

08 marca 2019, 21:30 | W biegu | 1 komentarz

Jeśli ktoś porusza się w świecie korporacyjnym, zapewne słyszał o firmie Citrix. Donosi ona o włamaniu do swojej wewnętrznej sieci – o czym zostali poinformował przez FBI. Co dokładnie się stało? Pełnych informacji jeszcze nie ma, choć jest mowa o kradzieży wewnętrznych dokumentów. Niektórzy potwierdzają ilość na 6-10 TB poufnych informacji,…

Czytaj dalej »