Aktualności

Jak się w końcu zabrać za tego assemblera? Czyli MIPS w kontekście bezpieczeństwa – lekcja 2.

26 lutego 2020, 16:34 | W biegu | komentarze 2
Jak się w końcu zabrać za tego assemblera? Czyli MIPS w kontekście bezpieczeństwa – lekcja 2.

W kolejnym odcinku naszej serii przeanalizujemy pętlę for(), a także sprawdzimy, co odróżnia MIPSa od MIPSela. Będzie też bonus w postaci pracy domowej. Zacznijmy jednak od zadania domowego z lekcji 1. Praca domowa z lekcji 1. Rozwiązanie zadania 1 całkowicie pozostawiam Twojej ciekawości. Co do zadania 2 to przeanalizujmy sobie…

Czytaj dalej »

Firefox uruchamia DNS over HTTPS [US]. Pozostali mogą skonfigurować to ręcznie

26 lutego 2020, 13:03 | W biegu | komentarze 3
Firefox uruchamia DNS over HTTPS [US]. Pozostali mogą skonfigurować to ręcznie

Odwiedzasz serwisy z wykorzystaniem HTTPS? Bardzo dobrze, ale najpewniej zapytania do DNS, które realizuje Twoja przeglądarka realizowane są zwykłym plaintextem. Poza możliwością podrzucenia Ci fałszywej odpowiedzi (realizując atak klasy MiTM) firmy czy providerzy internetowi mogą łatwo analizować jakie domeny odwiedzają użytkownicy. Ma to też pozytywne strony – np. na podstawie…

Czytaj dalej »

Hasło na BIOS? Kilka tricków i sprzętowo je wyłączyli…

26 lutego 2020, 12:01 | W biegu | komentarze 4
Hasło na BIOS? Kilka tricków i sprzętowo je wyłączyli…

Ciekawa historia korporacyjnego laptopa, na którym było założone hasło na BIOS. To z kolei uniemożliwiło zbootowanie własnego systemu (innego niż Windows). Czy można takie hasło łatwo „zdjąć”? Okazuje się że w przypadku niektórych producentów – tak. Nie będę tutaj przepisywał całej treści oryginalnego researchu (swoją drogą – vendor jeszcze nie…

Czytaj dalej »

Przejęcie serwera Exchange przez deserializację (łatajcie!)

26 lutego 2020, 10:21 | W biegu | 1 komentarz
Przejęcie serwera Exchange przez deserializację (łatajcie!)

Kolejna ciekawostka w ramach serii #vulnz. Tym razem mamy do czynienia z błędem umożliwiającym zdalne wykonywanie poleceń systemowych na serwerze Exchange. Dokładniej – RCE mamy w Exchange Control Panel, wymagane jest dowolne konto usera. Mało zabawne jest to, że atakujący po wykonaniu ataku otrzymuje od razu uprawnienia SYSTEM na serwerze. Microsoft…

Czytaj dalej »

NordVPN łata krytyczny błąd związany z prywatnością (appka iOS)

25 lutego 2020, 15:56 | W biegu | komentarze 4
NordVPN łata krytyczny błąd związany z prywatnością (appka iOS)

Mam tutaj dość mieszane uczucia. Zacznijmy od pozytywów,:bug został zlokalizowany, zostało za niego wypłacone naprawdę solidne bug bounty ($7777). Z drugiej strony temat wygląda na dość banalny (i aż trudno uwierzyć, że appka przeszła tutaj jakieś testy bezpieczeństwa nakierowane tematy związane z naruszeniami prywatności): Connection informaton is sent to a…

Czytaj dalej »

Jesteś początkujący? Wbijaj na nasz darmowy kurs on-line o bezpieczeństwie aplikacji WWW! :)

25 lutego 2020, 13:53 | W biegu | komentarzy 12
Jesteś początkujący? Wbijaj na nasz darmowy kurs on-line o bezpieczeństwie aplikacji WWW! :)

O kursie pisaliśmy niedawno – a zapisy trwają jeszcze do 16 marca 2020. Całość zrealizujemy w formie czterech godzinnych sesji on-line (będą też warsztaty). Tematyka to bezpieczeństwo aplikacji webowych (idealne dla programistów / testerów czy wszystkich którzy chcą wejść w temat). Jesteś początkujący? Spokojnie, jeśli masz tylko chęci – z…

Czytaj dalej »

Decathlon Hiszpania: wyciekło grubo ponad 100 milionów rekordów danych. Powód? Banalny…

24 lutego 2020, 21:46 | W biegu | 0 komentarzy
Decathlon Hiszpania: wyciekło grubo ponad 100 milionów rekordów danych. Powód? Banalny…

VPNMentor donosi o wycieku około 9 GB danych należących do Decathlona Hiszpania. 9 GB, 123 miliony rekordów i dane takie jak: e-maile pracowników, niezaszyfrowane hasła pracowników, dość dokładne dane dotyczące zatrudnienia (nazwiska, adresy, telefony, poziom edukacji, kwalifikacje, …) . Jest też nieco informacji dotyczących klientów: Customer email and login information,…

Czytaj dalej »

FBI: skomplikowane hasła to przeżytek. Jako hasła lepiej używajcie kilku słów

22 lutego 2020, 22:52 | W biegu | komentarze 34
FBI: skomplikowane hasła to przeżytek. Jako hasła lepiej używajcie kilku słów

Pamiętacie takie zalecenia: co najmniej 8 znaków, małe i duże litery, minimum jeden znak specjalny i minimum jedna cyfra? To od dłuższego czasu przeżytek, czego kolejnym przykładem są rekomendacje FBI: Zamiast używać krótkiego złożonego hasła, które jest trudne do zapamiętania rozważcie raczej używanie jako hasła dłuższego „zdania” [passphrase]. Wystarczy tylko…

Czytaj dalej »

The Intercept: Unia Europejska planuje stworzenie bazy twarzy obywateli z wszystkich krajów członkowskich. W imię walki z terroryzmem…

22 lutego 2020, 20:25 | W biegu | komentarzy 5
The Intercept: Unia Europejska planuje stworzenie bazy twarzy obywateli z wszystkich krajów członkowskich. W imię walki z terroryzmem…

Wg. The Intercept dość niepokojące plany opisują niedawno wycieknięte dokumenty: According to leaked internal European Union documents, the EU could soon be creating a network of national police facial recognition databases. A report drawn up by the national police forces of 10 EU member states, led by Austria, calls for…

Czytaj dalej »

Już niedługo kupowanie certyfikatu SSL o ważności > 1 rok nie będzie miało sensu. Safari / Apple ogranicza czas zaufania do certyfikatów.

22 lutego 2020, 13:29 | W biegu | komentarzy 11
Już niedługo kupowanie certyfikatu SSL o ważności > 1 rok nie będzie miało sensu. Safari / Apple ogranicza czas zaufania do certyfikatów.

Trzeba przyznać, że i mnie zaskoczył pewien fakt: wydawałoby się dość niszowa przeglądarka Safari jest obecnie na #2 miejscu w globalnym rankingu popularności: (choć warto dodać, że sporą część udziału mają tu przeglądarki mobilne – iPhone-y). W każdym razie począwszy od 1. września 2020, Safari będzie uznawać za nieważne certyfikaty…

Czytaj dalej »

Do pełna proszę. Zaraz, zaraz zapłacimy tylko okup ;-) [ransomware w dużej chorwackiej firmie paliwowej]

21 lutego 2020, 16:09 | W biegu | 0 komentarzy
Do pełna proszę. Zaraz, zaraz zapłacimy tylko okup ;-) [ransomware w dużej chorwackiej firmie paliwowej]

Chodzi o INA Group, a firma cały czas nie usunęła skutków ataku. Informacja na stronie mówi o ataku, skutkującym niedostępnością wybranych usług (paliwo na stacjach benzynowych można lać, stąd ;-) w tytule): The INA Group is under cyber-attack, which began around 10 pm on February 14, 2020, causing problems in…

Czytaj dalej »

Jak czasem można łatwo oszukać mechanizm przypominania hasła? #vulnz

21 lutego 2020, 15:52 | Aktualności | komentarzy 6
Jak czasem można łatwo oszukać mechanizm przypominania hasła? #vulnz

Dzisiaj mała rzecz – a cieszy może czasem doprowadzić do poważnych problemów. Zapewne każdy z nas wielokrotnie korzystał z mechanizmu przypominania hasła – wpisujemy tam login lub e-mail i oczekujemy na wiadomość linkiem umożliwiającym reset hasła. Oczywiście link posiada tzw. token (odpowiednio długi losowy ciąg znaków) potwierdzający, że mogę zmienić…

Czytaj dalej »

Ukradli Microsoftowi kilka domen. Ponoć można kraść dalej! #vulnz [subdomain takeover]

20 lutego 2020, 20:53 | W biegu | komentarze 4
Ukradli Microsoftowi kilka domen. Ponoć można kraść dalej! #vulnz [subdomain takeover]

W dzisiejszym odcinku #vulnz kilka słów o problemie/podatności subdomain takeover. Jak sama nazwa wskazuje chodzi tutaj o przejęcie jakiejś poddomeny (niespodzianka ;). Wydaje się to dość trudne do zrealizowania, jednak wbrew pozorom czasem bywa naprawdę proste. Obecnie z problemem boryka się Microsoft, gdzie wiele domen zostało „przejętych” oraz serwowany jest różny, niezbyt…

Czytaj dalej »