Jeśli ktoś chce szybko mięsa – proszę: mamy tutaj w pełni bojowe exploity (ang. weaponized exploits) zawierające 0-daye na iPhone / Androida (tu będziecie pewnie narzekać że starocie) / Windowsa. Nie brakuje też pakunków zmieniających telewizory Samsunga w ukryte mikrofony. W oryginale: (…) arsenal and dozens of „zero day” weaponized exploits against…
Czytaj dalej »
Po żmudnym i mocno nietypowym procesie analizy udało się z pięciu taśm odzyskać grubo ponad 1000 plików zapisanych w Polsce w latach 1973 – 1984.
Wśród nich znaleziono perły, które zostały uznane już jako utracone. Są to choćby źródła oprogramowania minikomputera K-202 (skonstruowany w latach 1970-1973), czym dotykamy samych początków historii polskich komputerów…
Czytaj dalej »
Ministerstwo Cyfryzacji opublikowało właśnie dokument: „Strategia Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017 – 2022„. Rzeczywiście w dokumencie jest mowa o bug bounty – ale o tym za moment. Niedługo uczestniczę w panelu dyskusyjnym – m.in. z minister cyfryzacji Anną Streżyńską – jeśli podrzucicie ciekawe pomysły / rozwiązania czy ogólnie komentarze do…
Czytaj dalej »
O szkoleniu pisaliśmy jakiś czas temu. Michał Bentkowski – prowadzący ten kurs – jest ostatnio w wyjątkowej formie – ostatnio zdobył 1 miejsce ex aequo w międzynarodowym konkursie: XSSMas Challenge organizowanym przez jednego z topowych badaczy tematów bezpieczeństwa frontendu – Mario Heiderich-a.
Czytaj dalej »
Opracowanie o narzędziu OWASP OWTF – czyli kombajnie mającym w założeniach usprawnienie realizacji testów bezpieczeństwa.
Czytaj dalej »
Akcja na rynku inteligentnych zabawek się rozkręca. Najpierw Barbie, później niemiecka rekomendacja zniszczenia lalki Calya (oskarżenie o ukryte urządzenie szpiegowskie). Teraz przyszła pora na większą „bombę”. Na początek zaczęło się od wycieku, którym zajął się znany nam Troy Hunt. Chodzi o inteligentne misie (CloudPets), które umożliwiają na przesyłanie głosu (przez clouda) do…
Czytaj dalej »
Co powiecie o takim UUID: 01f3cf39-fb6e-11e6-874a-4c72b97ca1e7 ? Czy jest on w pełni losowy, a może udałoby się coś powiedzieć do dacie jego stworzenia? A może wyciągnąć nawet więcej?
Czytaj dalej »
Po ujrzeniu światła dziennego podatności algorytmu SHA-1 (praktyczna możliwość stworzenia kolidujących PDF-ów), deweloperzy Webkit próbowali przygotować patcha chroniącego przeglądarki przed cache poisoning. Jednocześnie wykryli błąd w systemie SVN…
Czytaj dalej »
Tavis Ormandy ujawnia szczegóły krytycznego problemu z Cloudflare. Dokładny opis opublikowała też ta ostatnia…
Czytaj dalej »
Kolizje funkcji hashującej to zazwyczaj koszmar kryptografów – a szczególnie dotknięty jest w tym przypadku podpis cyfrowy. Podpis, jak pewnie wiecie, zazwyczaj jest dość krótki (nawet dużego, wielomegabajtowego dokumentu). Dlaczego? Bo robiony jest najczęściej nie z całego dokumentu, tylko np. tak: signature = RSA_SIG(SHA-1(dokument)). Co zatem jeśli znajdę dwa różne dokumenty o…
Czytaj dalej »
Nagłówek protokołu HTTP: X-Forwarded-For (XFF) pierwotnie został przedstawiony przez zespół developerów odpowiedzialnych za rozwijanie serwera Squid jako metoda identyfikacji oryginalnego adresu IP klienta łączącego się do serwera web poprzez inny serwer proxy lub load balancer. Bez użycia XFF lub innej, podobnej techniki, dowolne połączenie za pośrednictwem proxy, pozostawiłoby jedynie adres IP…
Czytaj dalej »
Czy wiecie, jak w prosty sposób odczytać dane z Waszej karty płatniczej? Zapewne tak, ponieważ od kilku lat wystarczy do tego zwykły telefon z czytnikiem NFC…
Czytaj dalej »
SysAnalyzer jest aplikacją (a właściwie zestawem), która pozwala na szybką analizę złośliwego oprogramowania poprzez obserwację wykonywanych przez nią działań w różnych stadiach systemu.
Oprogramowanie przed startem „złośliwej próbki” tworzy snapshot obecnego stanu naszego środowiska, który po uruchomieniu malware stanowi podstawę do stwierdzenia zmian w systemie.
Czytaj dalej »
Przewodnik po OAuth2.0 – z nastawieniem na szukanie dziury w całym. Od podstaw aż po możliwe problemy bezpieczeństwa.
Czytaj dalej »
SSL / TLS jest pozornie prostą techniką zapewniającą m.in. ochronę witryn internetowych. Gwarantuje poufność transmisji danych przesyłanych przez internet, zachowując przy tym prostotę instalacji i działania – z wyjątkiem, gdy tak nie jest. Przy końcówce 2014 roku, gigant z Mountain View – Google – na swoim blogu poinformował, że strony…
Czytaj dalej »
