Aktualności

NSA zadzwoniło do niego po północy i poprosiło o kod źródłowy. W nagrodę dostał… kubek.

31 października 2018, 22:11 | W biegu | komentarze 3

Nie będziemy tłumaczyć całej relacji. W skrócie, bohaterem jest twórca oprogramowania SafeHouse, umożliwiającego szyfrowanie plików. Pewnej nocy 2000 roku zadzwonił do niego człowiek z NSA (zerknijcie w oryginalnym tekście na procedurę potwierdzenia tożsamości :) –  i poprosił o informację czy może w oprogramowaniu nie ma gotowego backdoora – „to sprawa bezpieczeństwa…

Czytaj dalej »

PWNing 2018 – zapraszamy na naszą prezentację

30 października 2018, 20:08 | W biegu | 0 komentarzy

Na PWNingu byliśmy z prezentacjami od pierwszej edycji. Nie inaczej będzie w tym roku. Tym razem zaprezentuję kilka (jeśli  wystarczy czasu to może nawet 10) klas podatności w mechanizmie JWT (JSON Web Token) – prezentację tą prowadziłem tylko dwa razy – na PWNingu będzie najbardziej rozszerzona wersja, jeszcze nigdzie nie…

Czytaj dalej »

Można było banalnie przejąć dowolne konto firmowe na Facebooku. Nagroda za zgłoszenie buga: ~100 000 PLN

29 października 2018, 16:41 | W biegu | 0 komentarzy

Opis podatności tutaj. W skrócie – można importować listę własnych adminów (mając dostęp do swojego firmowego konta), przy czym… istniała możliwość zaimportowania adminów do dowolnego konta firmowego, podając po prostu jego ID i zaimportować siebie: There is a call to import admins to a business account. The call at the…

Czytaj dalej »

British Airways – hack jest coraz większy. Dane klientów nie są bezpieczne…

29 października 2018, 11:51 | W biegu | komentarze 4

Najpierw wybucha afera z hackiem British Airways. Zarówno klasyczny jak i mobilny serwis umożliwiający płatności był zhackowany przez dwa tygodnie. Prawdopodobnie została wykorzystana tutaj w pewien sposób zmodyfikowana biblioteka JavaScriptowa Modernizr. Obecnie liczba dotycząca wykradzionych danych została zaktualizowana. Są to dane kart kredytowych (często pełne – łącznie z datami ważności…

Czytaj dalej »

Onion3G – karta SIM z ruchem tunelowanym przez TORa

27 października 2018, 20:22 | W biegu | komentarze 2

Ciekawa usługa, którą testuje brytyjska firma Brass Horn Comms. Projekt jest w wersji BETA i wygląda mniej więcej tak: The Onion3G design is a closed network between your 3G device/MiFi/modem and the Brass Horn Comms Tor bridges, this may make the collection of Internet Connection Records (and by extension other forms of…

Czytaj dalej »

Komunikator Cisco WebEx – można wykonać kod z uprawnieniami SYSTEM

26 października 2018, 15:10 | W biegu | 0 komentarzy

Ogólna informacja tutaj. Co jest wymagane? 1. Podatna wersja klienta (uwaga: podatności prawdopodobnie nie da się wykorzystać na Windows 10). 2. Dowolne konto lokalne (lub dowolne konto domenowe) Co osiągamy? Wykonanie dowolnego kodu z uprawnieniami SYSTEM na komputerze gdzie działa WebEx. Czyli przykładowo – mam dowolne konto domenowe, skanuję teraz…

Czytaj dalej »

Microsoft Bing polecał na #1 zainfekowaną przeglądarkę Chrome!

26 października 2018, 10:36 | W biegu | komentarzy 16

Ciekawe znalezisko: nowy laptop z Windows 10. Co robimy jako pierwsze? Ściągamy Chrome (lub Firefoksa). Jaką mamy dostępną przeglądarkę? Edge. Jaka jest domyślnie skonfigurowana wyszukiwarka w Edge? Bing. Wpisujemy zatem: download chrome, wchodzimy na pierwszą pozycję (dla pewności widzimy że jest w domenie google.com). Instalujemy i cieszymy się normalnym przeglądaniem sieci….

Czytaj dalej »

W USA będzie można łamać DRM i inne zabezpieczenia – w celu naprawy / supportu swojego sprzętu

26 października 2018, 10:10 | W biegu | komentarzy 5

Łatwy sposób na zwiększenie sprzedaży elektroniki? Zróbmy DRM-a i np. po jakimś czasie zablokujmy software-owo urządzenie. Użytkownik chce odblokować? Nie może, bo złamałby prawo łamiąc nasze zabezpieczenia. Sprytne prawda? Jeszcze sprytniejsze jest uzupełnienie o tego typu elektronikę urządzeń, które i bez tego by się obeszły… Tego typu dość sporne sprawy…

Czytaj dalej »

Google wreszcie wymusza na producentach telefonów regularne udostępnianie łat bezpieczeństwa

25 października 2018, 12:42 | W biegu | komentarze 4

Łatanie systemów to pięta achillesowa środowiska androidowego. Sam Google bezpieczeństwo traktuje poważnie – choć by wypuszczając regularnie co miesiąc kolejną paczkę łat. Co ciekawe z krytycznych podatności, które pozwalają na wykonanie dowolnego kodu na telefonie (będąc w pobliżu lub przesyłając do ofiary odpowiedni plik multimedialny) – nikt już nie robi…

Czytaj dalej »

Implant party w Szwecji – podajesz komuś rękę i nie masz kasy ;-)

25 października 2018, 11:20 | W biegu | komentarzy 10

Projekt jest na razie chyba eksperymentalny – zachipowanych jest na razie ponad 4 000 Szwedów. Chip umieszczany jest na kciuku i może służyć do wielu różnych pożytecznych rzeczy jak: otwieranie drzwi, przechowywanie biletów (również na pociąg), przechowywanie profili z serwisów społecznościowych…: The chips are designed to speed up users’ daily…

Czytaj dalej »