Ktoś włamuje się do Twojego domu podczas Twojej obecności. Nie będziesz się grzecznie uśmiechał i czekał aż dom będzie obrabowany – „bo nie można nic zrobić chronionemu prawnie napastnikowi”. Oczywiście to absurd i na taką sytuację zwraca m.in. propozycja wprowadzenia do prawa USA możliwości aktywnej obrony przed cyberatakami (roboczo: Active Cyber…
Czytaj dalej »
Jeśli ktoś chce szybko mięsa – proszę: mamy tutaj w pełni bojowe exploity (ang. weaponized exploits) zawierające 0-daye na iPhone / Androida (tu będziecie pewnie narzekać że starocie) / Windowsa. Nie brakuje też pakunków zmieniających telewizory Samsunga w ukryte mikrofony. W oryginale: (…) arsenal and dozens of „zero day” weaponized exploits against…
Czytaj dalej »
Akcja na rynku inteligentnych zabawek się rozkręca. Najpierw Barbie, później niemiecka rekomendacja zniszczenia lalki Calya (oskarżenie o ukryte urządzenie szpiegowskie). Teraz przyszła pora na większą „bombę”. Na początek zaczęło się od wycieku, którym zajął się znany nam Troy Hunt. Chodzi o inteligentne misie (CloudPets), które umożliwiają na przesyłanie głosu (przez clouda) do…
Czytaj dalej »
Kierowana na istotne ukraińskie instytucje operacja, wśród innych danych wyciągała również nagrania audio z zainfekowanych laptopów / komputerów: The operation seeks to capture a range of sensitive information from its targets including audio recordings of conversations, screen shots, documents and passwords. Unlike video recordings, which are often blocked by users simply…
Czytaj dalej »
Czy ktoś konkretny ucierpiał finansowo w tym temacie… na razie nie, czy ktoś zgłosił się po odszkodowanie? Chyba też nie… Natomiast bardzo konkretna jest kwota – okrągłe $350 000 000, które zmniejszyło wcześniej wynegocjowaną wartość przejęcia Yahoo przez Verizon. Jako powód zmniejszenia kwoty sprzedaży podaje się wykrycie dwóch wycieków z Yahoo obejmujących w sumie około…
Czytaj dalej »
O sprawie na pewno słyszeliście – temat jako pierwsza opracowała zaufanatrzeciastrona. Obecnie pojawiają się kolejne analizy (zawierające sporo technicznych smaczków) i pokazujące również powiązania z atakiem na polskie organizacje podobnych akcji: na regulatora finansowego w Meksyku i narodowy bank w Urugwaju: The eye-watch[.]in domain appears to have been used in watering-hole attacks on other…
Czytaj dalej »
Motherboard publikuje raport, który 'wyciekł’ z Google (sam serwis nie precyzuje źródła wycieku) . Dokument jest datowany na 2014 rok i nosi tytuł: Peering Into the Aquarium: Analysis of Sophisticated Multi-Stage Malware Family. Jeśli ktoś zna Wiktora Suworowa, to powinien odczytać aluzję… I zgadza się – raport traktuje o malware, wykorzystywanym…
Czytaj dalej »
Jak może wiecie, niedawno amerykańskie wojsko otworzyło uruchomiło program bug bounty (hack the Pentagon to tylko jeden z nich). Przy okazji warto zastanowić się (czy uświadomić sobie) jedną ciekawostkę ze świata cyber. Jeden z uczestników bug bounty, znalazł kilka błędów, które jego zdaniem umożliwiały sfałszowanie cyberataku, tak aby jego źródło pochodziło…
Czytaj dalej »
Prosta i jak się okazało skuteczna akcja z kategorii spear phishing. Najpierw Palestyńczycy założyli (lub przejęli) konta atrakcyjnych izraelskich dziewczyn w serwisach społecznościowych. Następnie nakłaniali izraelskich żonierzy do ściągnięcia aplikacji, która de facto była trojanem: By impersonating beautiful women on social media, Hamas tricked and enticed IDF combat soldiers, hacked into…
Czytaj dalej »
Trzeci numer magazynu Sekurak/Offline dotyczy ponownie tematu bezpieczeństwa aplikacji webowych. Jest to jak dotąd najbardziej rozbudowany numer – ponad 80 stron tekstów.
Czytaj dalej »
Tajemnicą poliszynela jest fakt, że sieci infrastruktury krytycznej nikt nie chce testować pod względem ew. naruszeń bezpieczeństwa IT. Nikt nie ma infrastruktury testowej, a testowanie na produkcji… może skończyć się mała katastrofą. Kto za to odpowie? Tak, zgadliście – testujący. Tymczasem parę dni temu, nagły blackout na Ukrainie nasunął liczne…
Czytaj dalej »
Na najnowszym systemie iOS z serii 9.x pokazano praktyczny atak odzyskujący prawidłowy 4-znakowy PIN w czasie <40h.
Czytaj dalej »
Możliwość nieuwierzytelnionego wykonywania poleceń jako OS root w dość nowych urządzeniach TP-Link: Archer C20i oraz Archer C2.
Czytaj dalej »
Wiele serwisów – również mainstreamowych w Polsce – ekscytuje się przejęciem używanej przez TP-Link domeny tplinklogin.net (+ potencjalnie analogicznych, np.: tplinkwifi.net). Czy można zatem przejąć kontrolę nad TP-Linkami?
Czytaj dalej »
PoC algorytmu odzyskującego błyskawicznie domyślne hasło WPA2 do jednego z routerów UPC. Aktualizacje urządzeń w drodze, wyjaśnienia rzecznika prasowego UPC w treści tekstu.
Czytaj dalej »
