Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: python

Jak zepsuć uczenie maszynowe? Wprowadzenie do ataków adwersarialnych.

20 września 2024, 18:53 | Narzędzia, Teksty | komentarzy 9
Jak zepsuć uczenie maszynowe? Wprowadzenie do ataków adwersarialnych.

Poniższe obrazki wydają się jednakowe; czy jesteś w stanie określić, czym się różnią? Przykład adwersarialny z wykorzystaniem FGSM, Źródło: TensorFlow, https://www.tensorflow.org/tutorials/generative/adversarial_fgsm?hl=pl Mam mocne przeczucie, że nie widzisz różnicy. Natomiast dla AI (sieci neuronowej) mogą to być dwa absolutnie różne obrazki; ten po lewej przedstawia pandę, a drugi – rzecz jasna –…

Czytaj dalej »

Supply chain attack na Pythona, czyli o krok od kolejnego dużego incydentu

23 lipca 2024, 00:23 | W biegu | 1 komentarz
Supply chain attack na Pythona, czyli o krok od kolejnego dużego incydentu

Często słyszy się określenie, że bezpieczeństwo to ciągła „gra w kotka i myszkę” lub wyścig. W rzeczy samej, często badacze muszą ścigać się z przestępcami, aby zapobiec poważnym atakom. Od czasu ataku na SolarWinds, dużą popularność i rozgłos zyskują ataki na łańcuch dostaw. Na łamach sekuraka opisywaliśmy wielokrotnie sytuacje, w…

Czytaj dalej »

Podatność Path traversal w Splunk Enterprise na Windows

21 lipca 2024, 23:23 | W biegu | 1 komentarz
Podatność Path traversal w Splunk Enterprise na Windows

W oprogramowaniu Splunk Enterprise działającym na systemach Windows ujawniona została niedawno podatność typu path traversal, pozwalająca atakującemu na nieuprawniony dostęp do plików na podatnym systemie. Błąd może wykorzystać zdalnie nieuwierzytelniony atakujący i sprowadza się do wysłania pojedynczego żądania HTTP GET. Do wykorzystania może dojść w ścieżce /modules/messaging/ na instancjach Splunk z włączonym modułem…

Czytaj dalej »

Deserializacja atakuje modele ML po raz kolejny, tym razem jeszcze skuteczniej

20 czerwca 2024, 23:37 | Aktualności | 1 komentarz
Deserializacja atakuje modele ML po raz kolejny, tym razem jeszcze skuteczniej

Zachłyśnięcie się rozwojem technologii powszechnie określanej jako AI (sztuczna inteligencja), powoduje lawinowy wzrost projektów, również tych otwartych. Ponieważ procesy uczenia, nakładania ograniczeń na model oraz fine-tuningu (dostrajania) są raczej kosztowne, to możliwe jest zapisanie stanu poprzez wyeksportowanie zserializowanych modeli w celu ich późniejszego załadowania i użycia lub udostępniania w sieci….

Czytaj dalej »

IBM X-Force informuje o trwającej kampanii rosyjskiej grupy APT28 – celem min. Polska

29 marca 2024, 15:06 | W biegu | 0 komentarzy
IBM X-Force informuje o trwającej kampanii rosyjskiej grupy APT28 – celem min. Polska

APT28 gościło na naszych łamach wielokrotnie. Grupa APT znana pod pseudonimem Forest Blizzard oraz ITG05 (nazwa nadana przez IBM X-Force) to grupa hakerska związana z Kremlem, działająca przy Głównym Zarządzie Wywiadowczym (GRU). Odejście od poprzedniej nazwy “Fancy Bear” w nazwie wydaje się dobrym zagraniem marketingowym umniejszającym legendę przestępców. Tym razem…

Czytaj dalej »

Wykorzystanie modeli AI do atakowania deweloperów

04 marca 2024, 18:05 | W biegu | 1 komentarz
Wykorzystanie modeli AI do atakowania deweloperów

Nie wygląda na to, aby popularność na to, co powszechnie określane jest skrótem AI, w nadchodzących miesiącach miały ulec zmianie. Od początku przyglądamy się oraz prowadzimy własne badania w zakresie modeli i ich wpływu na bezpieczeństwo użytkowników końcowych, systemów, na których są uruchamiane oraz środowisk deweloperskich. Możliwości i zagrożenia, wynikające…

Czytaj dalej »

Ktoś podesłał nam na Facebooku zip-a. W zipie był zainfekowany plik bat. Ale co konkretnie? Malware wykradający dane. Analiza.

17 stycznia 2024, 20:03 | W biegu | komentarzy 5
Ktoś podesłał nam na Facebooku zip-a. W zipie był zainfekowany plik bat. Ale co konkretnie? Malware wykradający dane. Analiza.

Na początku tygodnia na naszą skrzynkę na Messengerze (komunikator Meta) trafiła taka oto wiadomość: O czym informowaliśmy na naszym Facebooku.  W komentarzach oprócz celnych dowcipów padły też pytania, co zawiera niecodzienny załącznik. My z kolei byliśmy bardzo zainteresowani, jakiego produktu tajemniczy jegomość nie był w stanie zlokalizować w naszym sklepie….

Czytaj dalej »

Chciała przewieźć pytona samolotem w obudowie na dyski twarde.

12 lipca 2018, 14:06 | W biegu | komentarze 2

Temat pytona jest ostatnio modny w kraju nad Wisłą. Tymczasem w Miami, niedoszła pasażerka samolotu chciała przewieźć swojego węża w obudowie na zewnętrzne dyski twarde (dokładniej: „dual bay RAID external enclosure”). Podejrzenia pracowników TSA wzbudziły substancje organiczne w elektronice. Dokładniejsza ręczna kontrola wykazała takiego oto zwierzaka: –ms

Czytaj dalej »

Rozwiązanie konkursu unpickle

05 lipca 2014, 22:50 | Teksty | 0 komentarzy
Rozwiązanie konkursu unpickle

Kilka dni temu w artykule o unpickle ogłosiliśmy konkurs, polegający na wykorzystaniu omawianej podatności w celu uzyskania XSS-a. Jeszcze tego samego dnia przyszło do nas pięć rozwiązań (ale najszybszy był Adam Dobrawy). W rozwiązaniach zastosowano trzy różne podejścia do problemu.

Czytaj dalej »

Python w służbie pentestera

24 lutego 2014, 21:28 | Teksty | komentarze 22
Python w służbie pentestera

Język Python to interpretowany język skryptowy obecny praktycznie we wszystkich liczących się dzisiaj systemach operacyjnych. Jego uniwersalność sprawia, że jest także jednym z częściej wybieranych przez specjalistów od bezpieczeństwa języków służących do pisania narzędzi przydatnych w tej dziedzinie.

Czytaj dalej »