Aktualności

Tavis Ormandy, opublikował szczegóły podatności w antywirusie Kaspersky. Problem umożliwia wykonanie kodu na systemie operacyjnym ofiary, jedynie przez fakt że ofiara przeskanowała antywirusem odpowiednio spreparowany plik.

Jakiś czas temu opisywaliśmy już oba narzędzia (praktyczny artykuł o odzyskiwaniu skasowanych danych), pisaliśmy też o softwareowym generowaniu bad-sectorów (na czymś trzeba trenować :) Z kolei jakiś już czas temu pokazały się nowe wersje duetu TestDisk / Photorec. Przynoszą one: Wsparcie dla odzyskiwania przeszło 10 nowych formatów plików (w sumie obsługiwanych jest…

ZERODIUM, nowy gracz na rynku firm pośredniczących w handlu exploitami 0-day, postanowił w niecodzienny sposób zwrócić uwagę na swą działalność. Firma ta rozpoczęła właśnie publiczny program skupowania exploitów oferując najwyższe znane do tej pory wynagrodzenie.

Tym razem niewiele skomentuję – w nowym tekście Programisty mamy nowy tekst Michała Bentkowskiego (tematy bezpieczeństwa IT w kontekście przetwarzania XMLi). Są też fragmenty nowej książki Gynvaela Coldwinda (lidera znanej polskiej grupy CTF – Dragonsector). Swoją drogą odnośnie samej książki – będziemy jej patronem medialnym. Załoga Programisty o nowym numerze…

Przeszło 200-stronicowe opracowanie – Crypto101 – dostępne jest zupełnie bezpłatnie oraz kierowane jest do programistów – niezależnie od poziomu zaawansowania. Całości przyświeca hasło: ucz się przez eksperymentowanie. Dalej, autor zachęca do lektury w ten sposób: Learn how to exploit common cryptographic flaws, armed with nothing but a little time and your favorite…

Klucz publiczny, klucz prywatny – co za różnica… Tak chyba do tematu kryptografii podchodzi firma D-Link, która (przypadkowo?) udostępniła w swoim repozytorium GPL klucz prywatny, który może służyć do podpisu plików binarnych pod Windows. Tak podpisana binarka nie będzie wyświetlała ostrzeżenia w Windows o potencjalnie niezaufanym pliku, ładnie za to…

Wraz z nowym mobilnym systemem iOS9 pojawiła się jedna ciekawa funkcjonalność – możliwość działania w domyślnej przeglądarce Safari, pluginów blokujących reklamy (Purify, Peace – to tylko dwa przykłady). Nie trzeba chyba dodawać, że aplikacje błyskawicznie stały się hitem AppStore… –ms

Ostatnio pisaliśmy o przejęciu jednego z konta adminów zajmującego się obsługą błędów w Firefoksie (dzięki temu pewna rosyjska grupa miała możliwość przygotowania exploitów 0-days na tą przeglądarkę). Tym razem mamy chyba jeszcze gorszą rzecz – przez zwykłą rejestrację w bugzilli, można było otrzymać pełne uprawnienia. No dobrze, może nie przez taką…

Jeden z użytkowników Reddita zauważył niepokojące zapisy w polityce prywatności firmy AVG. Wynika z nich, że czeski producent oprogramowania zabezpieczającego zbiera i sprzedaje m.in. informacje na temat internetowej aktywności swych użytkowników.

Dzisiaj małe małe przypomnienie – w nieco leniwym okresie wakacyjnym opublikowaliśmy #1 bezpłatnego magazynu Sekurak/Offline. Pisali o tym m.in: Zaufanatrzeciastrona, Dziennik Internatów, ekscytował się nawet Wykop. Na info o kolejnym numerze zapisało się też już prawie 1600 osób!

W Androidzie 5.x <= 5.1.1 możliwe jest obejście blokady ekranu i uzyskanie pełnego dostępu do urządzenia oraz zawartych na nim danych.

Pozostając w tematach sieci Tor warto dziś przy okazji wspomnieć o nowym serwisie Onionview, który wizualizuje globalną lokalizację poszczególnych węzłów najpopularniejszej na świeci (prawie) anonimowej sieci.

InvizBox Go to nowy projekt na Kickstarterze, którego celem jest dostarczenie „magicznego” pudełka zapewniającego anonimowość i prywatność podczas korzystania z dowolnego urządzenia za pośrednictwem dowolnej sieci Wi-Fi. Chociaż podobne pomysły (np. niesławny Anonabox) już były, to jednak Invizbox Go zapowiada się bardziej obiecująco. Spójrzmy.

Materiałów w temacie reverse engineeringu dla iOS jak na lekarstwo (dodatkowo, Apple nie rozpieszcza nas nadmiarem niskopoziomowej dokumentacji…).  A tym czasem od niedawna mamy dostępną szczegółową i to bezpłatną książkę, w taki sposób zachwalaną przez autora: iOS App Reverse Engineering is the world’s 1st book of very detailed iOS App reverse engineering…

Ośrodek badawczy firmy Xerox (PARC) zademonstrował prototyp układu scalonego wyposażonego w ciekawie rozwiązaną funkcję fizycznej autodestrukcji.