Zgłoszona w lutym tego roku podatność zostaje przez 5 miesięcy niezałatana. Całość sprowadza się do podobnego problemu jak tegoroczna kompromitacja Nissana Leaf – mając VIN ofiary atakujący może go przydzielić do swojego konta (wykorzystany jest tu błąd aplikacji umożliwiający obejście mechanizmu walidującego VIN) – a następnie zdalnie sterować pewnymi funkcjami samochodu. Co…
Czytaj dalej »
Samochód Mitsubishi Outlander PHEV, umożliwia łączenie się z aplikacji mobilnej do uruchomionego na samochodzie accesspointa WiFi. Kilku badaczy pokazało jak łatwo można złamać hasło PSK (<4 dni na mini klastrze GPU), a następnie sterować światłami czy klimatyzacją. Można powiedzieć – to już było ;) – ale w tym przypadku udało się wykonać…
Czytaj dalej »
Już od dobrych kilku dni wrze dyskusja czy Teamviewer został shackowany. Z jednej strony oficjalne komunikaty mówią że nie, wskazując na słabe hasła użytkowników używane jednocześnie w wielu różnych serwisach (ewentualnie Teamviewer potwierdza jedynie atak DoS na własne serwery nazw). Nie ma też żadnych pewnych dowodów na taki hack. Z drugiej…
Czytaj dalej »
Pisaliśmy niedawno o udanej akcji zaatakowania banku centralnego Bangladeszu, skąd wykradziono $81 000 000 (a niewiele brakowało do wyczyszczenia kont na kwotę $1 000 000 000). Tym razem Reuters donosi, że do hacku przyczynił się fakt braku urządzeń typu firewall w banku, a także podłączenie komputerów do globalnego systemu przelewów SWIFT,…
Czytaj dalej »
Francuska policja aresztowała 18 letniego Vincenta L. podejrzanego o posiadanie informacji dotyczącej szajki sprzedającej fałszywe alarmy bombowe, które realizowane są ze shackowanych telefonów VoIP. Działający w undergroundzie Evacuation Squad wycenia zrealizowane fałszywego alarmu na kwoty: 5$ (szkoły, siedziby firm), $10 (sądy), $20 wydarzenia sportowe, aż po $50 – duże wydarzenia sportowe….
Czytaj dalej »
Jak donosi Guardian i inne serwisy nowa generacja lalek Barbie, może zostać shackowana. Produkt Hello Barbie z wykorzystaniem wbudowanego interfejsu WiFi wysyła głos z mikrofonu na serwery, gdzie zostaje on poddany procesowi rozpoznania i generowana jest 'adekwatna’ odpowiedź. Problem w tym, że jak mówi badacz o przyjaźnie brzmiącym nazwisku –…
Czytaj dalej »
iStan to dość zaawansowany (i dość drogi – $100 000) sztuczny pacjent, na którym personel medyczny może do woli ćwiczyć rozmaite procedury. Jak pisze sam producent: iStan is the most advanced wireless patient simulator on the market, with internal robotics that mimic human cardiovascular, respiratory and neurological systems. When iStan bleeds,…
Czytaj dalej »
Dodawanie plików przez użytkowników web aplikacji wiąże się z wieloma zagrożeniami. Pentesterzy w tym obszarze często szukają luk prowadzących do zdalnego wykonania kodu po stronie serwera. A co gdyby dodanie nowego pliku skutkowało wykonaniem złośliwego skryptu JS? Taką możliwość dają pliki SVG opisujące grafikę wektorową we współczesnych przeglądarkach.
Czytaj dalej »
414s to nazwa jednej z pierwszych szeroko znanych grup hakerskich. Działająca we wczesnych latach 80. XX wieku, ekipa w większości nastoletnich (w wieku od 16 do 22 lat) znajomych, dokonała włamań do wielu znaczących instytucji, w tym do zajmującego się energetyką jądrową Los Alamos National Laboratory.
Czytaj dalej »
W niedawnym poście, Tavis Ormandy opisał błąd (i exploita…) na różne warianty pakietów antywirusowych oferowanych przez ESET (NOD32, Smart Security, …) . Wystarczy wejść na odpowiednio spreparowaną stronę www – i mamy zdalne wykonanie kodu na naszym systemie (z wysokimi uprawnieniami).
Czytaj dalej »
Na razie wiadomo tyle, że w zasadzie nic nie wiadomo – poza nielicznymi przeciekami. W każdym razie nasz komentarz do całej sprawy: w bardziej nietypowej formie – został wyemitowany wczoraj w paśmie ogólnopolskim. Gdyby tylko nie ten sekurat… ;-) –ms
Czytaj dalej »
Na fali ostatnich doniesień o 'ataku hackerskim’ na PLL LOT, w artykule opisuję kilka ciekawych zasobów dotyczących ogólnie bezpieczeństwa IT w szeroko rozumianym przemyśle lotniczym.
Czytaj dalej »
Jak się zapewne domyślamy, wywiady różnych krajów realizują ataki cybernetyczne na wroga. Czy robią to legalnie / etycznie – to już inna kwestia. Oczywiście patrząc od strony służb – warto sprawę zalegalizować – patrz FBI, ale w tyle nie jest również wywiad brytyjski – aby sprawę nieco „uporządkować” przedstawiciele brytyjskiego…
Czytaj dalej »
Hakowanie Windows 10 Technical Preview. czyli jak uruchomić ten system na niewspieranym oficjalnie smartfonie.
Czytaj dalej »
Rosyjski portal randkowy, Topface.com, padł ofiarą udanego ataku, w wyniku którego cyberprzestępcy weszli w posiadanie bazy około 20 milionów adresów mailowych. Nie byłoby w tym doniesieniu nic szczególnie istotnego (do takich ataków dochodzi coraz częściej), gdyby nie fakt, że Topface zaproponowało przestępcom „okup”, by nie dopuścić do sprzedaży danych na…
Czytaj dalej »