Zobaczcie na tę historię o dość intrygującym tytule: The “not-Google” bug in the “all-Google” phone. Badacz opisuje historię podatności w sterownikach do GPU na Pixelu 6, która umożliwia zdobycie z poziomu appki androidowej uprawnień na poziomie jądra OS (oraz oczywiście uprawnień root). Badacz wycelował (CVE-2022-38181) w sterowniki do GPU, dokładniej…
Czytaj dalej »
Dawno nie słyszeliśmy o dużym wycieku. Oto on. Troy Hunt pisze o bazie serwisu Evite z 2013 roku, która zawierała sporo danych osobowych uzupełnionych hasłami użytkowników w zupełnie jawnej formie: New breach: Invitations website Evite had 101M unique email addresses breached this year from a 2013 archive (most were invite…
Czytaj dalej »
Osoby zajmujące się ekhem odzyskiwaniem haseł, na pewno kojarzą to narzędzie. Właśnie pokazała się wersja: 1.9.0-jumbo-1. Poprzednia edycja jumbo (1.8.0-jumbo-1) wydana była aż 4.5 roku temu, a w tym czasie wykonano przeszło 6000 commitów do repozytorium. Kilka nowych, wspieranych algorytmów (część z nich nazwana jest nieco enigmatycznie :) adxcrypt, andotp, androidbackup, ansible,…
Czytaj dalej »
Ma to w sobie chyba wszystko: ładny interfejs graficzny, wybieranie liczby instancji AWS, na które rozpylany będzie proces łamania (z aktualizacją kosztów), wybór słowników, konkretnych algorytmów do łamania, limitu czasu na łamanie, aktualizacje statusu, itd: Twórcy zachwalają narzędzie, również jeśli chodzi o koszty – $22 za niemal 2 Terahashe na…
Czytaj dalej »
Ciekawa (choć mająca już parę lat) praca, pokazująca kilka problemów z bezpieczeństwem zarówno jeśli chodzi o karty NVIDIA jak i AMD. O co dokładniej chodzi? Normalnie jeśli system operacyjny przydziela nam pamięć, jest ona czyszczona. Inaczej dostawalibyśmy 'losowe’ (ale mogące zawierać istotne elementy) fragmenty pamięci należące do innych użytkowników / procesów….
Czytaj dalej »
Szukając możliwości użycia hashcata w cloud, napotkałem taki serwis. Jedni oferują swoje maszyny na wynajem, drudzy je wynajmują. Ceny bywają rzeczywiście niskie – $0,082 za godzinę systemu z bardzo mocną kartą NVIDIA GTX 1080, do tego 24-corowy Xeon i 128 GB RAM. Jeśli się nam nie spieszy (i dobrze rozumiem…
Czytaj dalej »
Mamy już pierwsze benchmarki działania hashcata na nowej karcie od NVIDII. Wyniki RTX 2080 są imponujące – przeszło 37 miliardów hashy MD5 na sekundę, czy 12 miliardów solonych SHA-1 na sekundę robi wrażenie. W porównaniu z poprzednią generacją kart (GTX 1080) wyniki są średnio o około 60% lepsze (co swoją…
Czytaj dalej »
Jakiś czas temu pisaliśmy o przygotowaniach Google-a do uruchomienia GPU w cloud. Dzisiaj stało się to faktem. Za cenę 0,7 USD za godzinę za GPU. Do każdej naszej instancji VM można podłączyć do 8 GPU Nvidii. Obecnie jedyna dostępna karta to NVIDIA K80, która nie jest idealna do np. do crackowania haseł,…
Czytaj dalej »
Opis wykorzystanych do budowy crackera (czy odzyskiwacza haseł jak wolą niektórzy) komponentów, napotkanych problemów, wykorzystanych narzędzi – możecie znaleźć tutaj. Na uwagę zwraca też wykorzystanie webowego narzędzia hashview, automatyzującego wiele czynności w hashcacie. Sam time lapse: –ms
Czytaj dalej »
Chodzi dokładniej o odporność algorytmu na tzw. kolizje. W czym dokładnie może być problem? Przede wszystkim z podpisem cyfrowym – podpis jest zazwyczaj tworzony nie dla całej wiadomości, ale dla wyniku funkcji hashującej na wiadomości. Jeśli zatem znajdziemy dwie wiadomości o tym samym skrócie (o to mniej więcej chodzi w temacie…
Czytaj dalej »
Niedawno w serwisie arstechnika opisano wynik pewnego eksperymentu. Kilka osób (w tym autora narzędzia hashcat) poproszono o złamanie bazy 16,449 hashy.
Czytaj dalej »
Nowa wersja (0.14) narzędzia oclHashcat-plus pozwala na użycie GPU do odzyskiwania haseł do wolumenów truecrypt.
Czytaj dalej »
Jednym z niewielu narzędzi mogących pomóc w testach penetracyjnych systemów VPN, opartych o IPsec, jest ike-scan. Wśród wielu różnych możliwości oferowanych przez to narzędzie jest też możliwość wykorzystania problemów bezpieczeństwa przy łączeniu się z serwerem VPN w tzw. trybie agresywnym (Aggressive Mode). W przeciwieństwie do trybu głównego (Main Mode) ma on pewne słabości…
Czytaj dalej »
Każde hasło może zostać złamane w skończonym przedziale czasu. Za wszelką cenę trzeba więc zadbać, aby atak był procesem żmudnym i długotrwałym. Programista musi mieć świadomość, że hasło jest jednym z najważniejszym zasobów systemu. Cyberprzestępca próbuje sforsować wszystkie zabezpieczenia tylko po to, aby przejąć kontrolę nad tym krótkim ciągiem znaków.
Czy można się skutecznie bronić? Można próbować.
Czytaj dalej »
Coraz częściej słyszy się o dostępnych w Internecie bazach haseł wykradzionych z popularnych portali – w czerwcu 2012 był to LinkedIn, z którego wyciekło około 6.5 miliona haseł użytkowników, kilka miesięcy wcześniej – popularny serwis dla graczy Steam. Najczęściej tego typu bazy zawierają hasła użytkowników przechowywane w formie tzw. „zaszyfrowanej” (zahashowanej), choć czasem różnie z tym bywa…
Czytaj dalej »