Sekurak - piszemy o bezpieczeństwie

Zdalne wykradanie danych z odizolowanych fizycznie i sieciowo systemów komputerowych było już przedmiotem wielu badań i udanych eksperymentów. Tym razem badacze zaprezentowali jednak metodę pozwalającą na przechwytywanie danych przy całkowitym braku ingerencji oraz dostępu do docelowego systemu.

Załoga z Googla opublikowała analizę podatności w popularnej bibliotece glibc, która może doprowadzić do zdalnego wykonania kodu na systemie ofiary (udało się przygotować działający exploit). Podatne są wszystkie wersje począwszy od 2.9.

Działanie szpitala Hollywood Presbyterian Medical Center od kilku dni jest sparaliżowane przez rozległą infekcję tamtejszych systemów komputerowych. Sprawcy ataku za informacje pozwalające na przywrócenie działania placówki zażądali wielomilionowego okupu.

Jak co roku najlepsi specjaliści z zakresu przełamywania zabezpieczeń w popularnym oprogramowaniu spotkają się w marcu podczas tegorocznej edycji prestiżowego konkursu Pwn2Own. Dużą popularnością cieszył się zawsze konkurs hakowania przeglądarek, tym razem zabraknie w nim jednak Firefoksa…

Ogłoszono właśnie krytyczną podatność (maksymalny CVSS Base score: 10) w urządzeniach Cisco ASA. Luka wykryta została w obsłudze IPsec. Dostępna jest też duża ilość informacji o samym błędzie jak i szczegółach wykorzystania.

Krytyczny bug w sterowniku WiFi na Androidzie: bezprzewodowo można uzyskać wykonanie kodu w systemie operacyjnym na urządzeniu. Łatajcie się ASAP…

Wygląda na to że przestępcy znaleźli nowy sposób monetyzacji ataku na serwisy webowe. Mechanizm znany z systemów desktopowych (zapłać to odszyfrujemy Twój komputer), wchodzi w świat serwisów www.

Ciekawy błąd w iOS pozwala na całkowite unieruchomienie iPhone’a i innych urządzeń pracujących pod tym systemem poprzez ustawienie systemowej daty na 01.01.1970… która to zapewne nie jest przypadkowa.

Tym razem pomysłowym przestępcom komputerowym udało się w sprytny sposób ominąć kolejne zabezpieczenie — limity wypłat gotówkowych — zamieniając tym samym bankomaty w maszynki do hurtowego wypłacania pieniędzy.

Użytkownicy Avasta mieli jeszcze niedawno pewien problem, mianowicie podatność umożliwiającą listing katalogów oraz odczyt plików z komputera ofiary – jedynie po jej wejściu na odpowiednio spreparowaną stronę. Od niedawna podatność jest już załatana.

Polecamy serię szkoleń warsztatowych z dziedziny bezpieczeństwa aplikacji webowych. W sumie trzy kursy – dla zaczynających swoją karierę w bezpieczeństwie, ale i bardziej zaawansowanych.

Krótka i smutna historia eksperymentów Tureckiego programisty ze stworzeniem zabackdorowanego ransomware z otwartym źródłem.

Artykuł poświęcony jest narzędziu Drozer, które służy do analizy bezpieczeństwa aplikacji mobilnych na platformie Android. W artykule zostało przedstawione podstawowe użycie Drozera do rozpoznania aplikacji mobilnej i określenia wektorów ataku.

Jeszcze nie przycichła afera z backdoorem w Juniperach, a tym czasem odkryto zahardkodowane hasło do ssh na urządzeniach Fortineta.

Jeden z użytkowników przeglądarki Google Chrome zauważył ciekawy błąd skutkujący ujawnieniem jego wcześniejszych działań w trybie surfowania prywatnego (incognito).