Aktualności

Czy oglądanie filmu może naruszyć Twoją prywatność? Black Mirror: Bandersnatch zbiera informacje o naszych (moralnych) wyborach

14 lutego 2019, 14:10 | W biegu | 0 komentarzy

Kto nie oglądał jeszcze serialu Black Mirror – marsz do oglądania ;) To ponura wizja przyszłości (teraźniejszości?) z dużą dawką nowych technologii. Ocena obywateli – i związane z tym benefity? Proszę bardzo. Pszczoły drony, które… mogą być zhackowane i użyte jako broń? Czy  to aby na pewno jest przyszłość…? Najnowsza…

Czytaj dalej »

Jak zdobyć roota na Ubuntu? Prosto: dirty_sock exploit

13 lutego 2019, 15:48 | W biegu | komentarzy 6

Świetny opis podatności dającej lokalnie uprawnienia roota na Ubuntu (tzw. privilege escalation ze zwykłego użytkownika do roota). Podatne linie: Ubuntu 18.10, Ubuntu 18.04 LTS, Ubuntu 16.04 LTS, Ubuntu 14.04 LTS. Opis pokazuje, że tego typu problemy to nie tylko czarna magia i omijanie piętnastu metod antibufferoverflow. Czasem może być prosto. Bardzo…

Czytaj dalej »

Podstawione kable USB, przejmowanie serwerów / kamer, DDoS, przegląd najciekawszych podatności, hackowanie OAuth2, hackowanie na żywo…

13 lutego 2019, 12:33 | W biegu | komentarze 2

To wszystko na naszym wydarzeniu – MEGA sekurak hacking party. Mega – bo tym razem występujemy w sali koncertowej, a zapisanych jest już blisko 1000 osób! Po wydarzeniu będziecie wiedzieć żeby nie pożyczać kabli USB do ładowania telefonu, nie używać klawiatur bezprzewodowych (z małymi wyjątkami), od razu sprawdzicie czy w Waszych…

Czytaj dalej »

Dzień (nie)bezpiecznego Internetu – case study

13 lutego 2019, 10:04 | W biegu | komentarzy 15

Nie obchodziliśmy dnia bezpiecznego Internetu, ale jak donosi nam jeden z czytelników – wiele serwisów i owszem. Dajmy na to Komputerświat uważa, że „mocne” hasło: Musi składać się z co najmniej ośmiu losowych wybranych dużych i małych liter, cyfr oraz znaków specjalnych. Zobaczmy więc. Różnych znaków w haśle możemy mieć…

Czytaj dalej »

0-day na elektryczną hulajnogę Xiaomi. Można nią zdalnie sterować!

12 lutego 2019, 16:30 | W biegu | komentarzy 5

Szczegóły na blogu Zimperium. Chodzi o model Xiaomi M365, na którym bazuje sporo innych sprzętów tego typu, i który ma możliwość komunikacji z zewnętrzną aplikacją mobilną poprzez Bluetooth. Z opisu podatności wynika, że hasło dostępowe jest wprawdzie wymagane aby komunikować się bezprzewodowo z hulajnogą, ale… sprawdzane jest tylko po stronie aplikacji…

Czytaj dalej »

Wyciek kont z serwisu Krajowego Rynku Nieruchomości

12 lutego 2019, 13:28 | W biegu | 1 komentarz

Wczoraj serwis krn.pl rozsyłał takie wiadomości: Szanowni Państwo, w dniu 07-02-2019 r. doszło do ataku hackerskiego, w wyniku którego doszło do potencjalnego wycieku danych do Państwa kont na portalu: KRN.pl oraz forum.krn.pl: login (mail) oraz hasło (w zaszyfrowanej formie). Więcej informacji może zostać Państwu udzielonych pod adresem e-mail: kontakt@krnmedia.pl Konsekwencją…

Czytaj dalej »

Wyciek: 617 milionów kont do sprzedania (m.in. MyHeritage kolekcjonujące DNA)

12 lutego 2019, 13:14 | W biegu | 0 komentarzy

Jak donosi serwis the Register, ktoś wystawił na sprzedaż paczkę 617 milionów kont (różne dane: maile, zahashowane hasła, daty urodzin, adresy…). Cena za cały pakiet oscyluje w okolicach $20 000. Lista wycieków poniżej: Dubsmash (162 million), MyFitnessPal (151 million), MyHeritage (92 million), ShareThis (41 million), HauteLook (28 million), Animoto (25…

Czytaj dalej »

Podatność w Dockerze – możliwość uzyskania roota na głównym systemie.

11 lutego 2019, 20:40 | W biegu | komentarze 3

Szczegóły tutaj, załatana wersja Dockera tutaj (18.09.2) The vulnerability allows a malicious container to (with minimal user interaction) overwrite the host runc binary and thus gain root-level code execution on the host. Prawdopodobnie muszą być spełnione dwie rzeczy: atakujący może startować kontenery (docker run) ze swoim obrazem kontener jest uruchamiany jako root…

Czytaj dalej »

Rosja całkowicie odłączy się od Internetu (w ramach testów związanych z bezpieczeństwem)

11 lutego 2019, 16:37 | W biegu | komentarze 4

Eksperyment z rozmachem – Rosja ma być odłączona od Internetu (w ramach procedury testowej, na jakiś czas). Całość została zaproponowana pod koniec zeszłego roku, a eksperyment ma na celu zebranie wniosków z realnego odłączenia. Wnioski z kolei mają wpłynąć na ostateczny wygląd ustaw. W draftach wspominanych ustaw, poza konieczną autonomią…

Czytaj dalej »

Firefox planuje blokowanie aplikacji kopiących kryptowalutę / budujących profil użytkownika (fingerprint)

10 lutego 2019, 21:02 | W biegu | komentarze 3

Te nowe funkcje zauważono w deweloperskich wydaniach Firefoxa: Add cryptomining and fingerprinting protection options to custom content blocking preferences Chodzi oczywiście o strony webowe, które próbują kopać kryptowalutę w naszej przeglądarce (lub próbują nas namierzać w dość nietypowy sposób). Niektórzy wskazują nawet jak ma to wyglądać w interfejsie: Patrząc na…

Czytaj dalej »

FreedomEV – OpenSourceowy projekt dla zrootowanych Tesli. Ostre geeki czy szaleńcy?

09 lutego 2019, 15:57 | W biegu | komentarzy 7

Strona projektu tutaj. Repozytorium oprogramowania (OpenSource!) – tutaj. Poniżej – dłuższy filmik prezentujący projekt. Z ciekawostek – mamy tu np. „cloak mode” utrudniającą (uniemożliwiającą?) wszelakie „trackowanie” samochodu. Tzw. misja twórcy FreedomEV wygląda ambitnie: Enable full consumer control over the electric vehicle future Oprogramowanie wymaga posiadania roota na Tesli, ale i na…

Czytaj dalej »

Szpitale, markety z urządzeniami chłodniczymi dostępnymi na domyślnych hasłach z Internetu (Polska też na mapie!)

09 lutego 2019, 12:27 | W biegu | komentarzy 5

O Shodanie i podobnych narzędziach pisaliśmy nie raz. Tym razem ktoś namierzył urządzenia znanej firmy produkującej m.in, sprzęt kontrolujący temperaturę – dostępne w Internecie. Interfejs przeglądarkowy + brak haseł (dla takich przypadków widzicie zrzuty ekranowe poniżej) lub domyślne hasła admina: nie wygląda to dobrze. W ramach demo, autorzy badania pokazali…

Czytaj dalej »

Spółka Polskiej Grupy Zbrojeniowej ofiarą phishingu – przelali 4 mln złotych na lewe konto

08 lutego 2019, 16:01 | W biegu | komentarzy 6

O ataku na spółkę Cenzin donosi RMF. Scenariusz miał być banalnie prosty: Do spółki przyszło kilka e-maili od osoby lub osób podszywających się pod czeskiego dostawcę broni. W korespondencji poinformowano o zmianie konta, na które Cenzin ma wpłacać pieniądze za dostawy. Osoby odpowiedzialne za finanse dokonały zmian w systemie płatności…

Czytaj dalej »