W biegu

Twarze 100k nieistniejących ludzi (wygenerowanych przez AI) do pobrania bez „Copyrightu”

19 września 2019, 19:14 | W biegu | komentarze 4

Zerknijcie tutaj. Zdjęcia można pobierać losowo, w trakcie tworzenia jest również API (gdzie będzie można przefiltrować wyniki, po pochodzeniu etnicznym (są też Słowianie), wieku, płci czy nastroju czy kolorze skóry). Twórcy projektu piszą tak: Every image was generated by our internal AI systems as it continually improves. Use them in…

Czytaj dalej »

Na Morele.net nałożono karę 2 830 410 zł z RODO (kara za niewystarczające zabezpieczenia organizacyjne i techniczne)

19 września 2019, 11:56 | W biegu | komentarzy 8

Chodzi o znany zapewne większości naszych czytelników incydent, który doprowadził do ujawnienia rekordów o przeszło 2 milionach osób. Poza danymi osobowymi były tam też zahashowane hasła, (na temat szybkości ich łamania przygotowaliśmy osobny tekst). O nałożonej karze przez UODO można poczytać tutaj („kara za niewystarczające zabezpieczenia organizacyjne i techniczne”): Zastosowane…

Czytaj dalej »

Telewizory kontaktują się z Netfliksem nawet jeśli nie mamy tam konta… Zobaczcie też inne ciekawe dane, które wysyłają do netu popularne urządzenia IoT

19 września 2019, 11:25 | W biegu | 1 komentarz

Zobaczcie na to dość rozbudowane badanie. Przygotowano testowo ekstremalnie smart apartament: Były tam telewizory, dongle do telewizorów, kamery, suszarki do ubrań, dzwonki, pralki, żarówki czy asystenci głosowi – wszystko bardzo inteligentne i wysyłające dane do Internetu (w sumie 81 urządzeń umieszczonych w labie znajdującym się w UK oraz osobnym w…

Czytaj dalej »

Github zacznie przydzielać numery CVE 

19 września 2019, 10:45 | W biegu | 0 komentarzy

Dzisiaj na oficjalnym twitterze GitHub pojawiła się informacja, że stali się CNA, czyli CVE Numbering Authority. Oznacza to, że badacze bezpieczeństwa będą mogli zwrócić się do serwisu w celu przydzielenia numerów CVE dla znalezionych podatności.  CVE to skrót od Common Vulnerabilities and Exposures i jest ogólnie przyjętym systemem katalogującym informacje…

Czytaj dalej »

Banalny 0-day w phpMyAdminie – przy pewnych warunkach atakujący może kasować całe bazy danych

18 września 2019, 11:40 | W biegu | komentarze 4

O problemie doniósł the Hacker News. Całość do podatność klasy CSRF (czyli zmuszenie przeglądarki ofiary do wykonania jakiejś nieautoryzowanej akcji; w naszej książce mamy cały rozdział o tym problemie): W zasadzie widać co tutaj się dzieje. Wystarczy osadzić tego typu obrazek na jakiejś stronie (np. na sekuraku) – oraz umieścić stosowną…

Czytaj dalej »

Znaleźli 150 podatności w domowych routerach i dyskach sieciowych (NAS). Czego tam nie ma… SQL injection, buffer overflow, omijanie uwierzytelnienia, dostęp na root, …

18 września 2019, 10:18 | W biegu | komentarzy 7

Jeśli ktoś chce zobaczyć trochę realnych, świeżych podatności w IoT, zachęcam do lektury wyników badania projektu SOHOpelessly Broken 2.0. Na celownik wzięto 13 urządzeń, w których każde miało minimum jedną podatność webowo-aplikacyjną (co nie dziwi…): All 13 of the devices we evaluated had at least one web application vulnerability such…

Czytaj dalej »

Udostępnią do hackowania satelitę na niskiej orbicie okołoziemskiej. Mają rozmach.

18 września 2019, 09:58 | W biegu | 0 komentarzy
Udostępnią do hackowania satelitę na niskiej orbicie okołoziemskiej. Mają rozmach.

Osoby które czytują sekuraka mają już przeczucie o jaką branżę chodzi – tak to wojsko USA (Air Force). Eksperyment z pewnymi systemami F-15 na tegorocznym Defconie się powiódł, a na przyszły rok szykuje się prawdziwa niespodzianka. W scope będzie sam satelita ale również infrastruktura naziemna: While sending elite hackers after…

Czytaj dalej »

Z tego kraju wyciekły wrażliwe dane osobowe *niemal każdego obywatela*. Wymienią wszystkie dowodziki i zagraniczne odpowiedniki PESELI?

17 września 2019, 12:30 | W biegu | komentarzy 8

W zasadzie każdy normalny kraj posiada centralną bazę danych obywateli. Co jednak się może wydarzyć kiedy taka baza wycieknie? VPNMentor doniósł właśnie o namierzeniu otwartej do Internetu bazy Elasticsearch, zawierającej przeszło 20 milionów rekordów o obywatelach Ekwadoru. Kraj ten ma ok. 16 milionów ludzi, jednak w bazie zdarzają się informacje…

Czytaj dalej »

Managery haseł są dobre. Ich pluginy do przeglądarek mniej. Podatność w LastPass umożliwiająca wykradanie haseł.

17 września 2019, 12:01 | W biegu | komentarzy 5
Managery haseł są dobre. Ich pluginy do przeglądarek mniej. Podatność w LastPass umożliwiająca wykradanie haseł.

Google Project Zero donosi o załatanej już podatności w LastPass (czy raczej przeglądarkowym pluginie dostarczanym przez tego managera haseł). PoC jest dość prosty i umożliwia na wykradzenie hasła wpisywanego na poprzednio odwiedzanej stronie: Luka jest już załatana, ale warto pamiętać że to właśnie pluginy przeglądarkowe są piętą Achillesową managerów haseł……

Czytaj dalej »

Zapomnieli zabrać ze sobą karty „wychodzisz wolny z więzienia”. Dwóch pentesterów aresztowanych za próbę wtargnięcia do sądu

16 września 2019, 12:55 | W biegu | komentarze 2
Zapomnieli zabrać ze sobą karty „wychodzisz wolny z więzienia”. Dwóch pentesterów aresztowanych za próbę wtargnięcia do sądu

Pentesterzy rzeczywiście testowali zabezpieczenia sądowe: State court administration (SCA) is aware of the arrests made at the Dallas County Courthouse early in the morning on September 11, 2019. The two men arrested work for a company hired by SCA to test the security of the court’s electronic records. The company…

Czytaj dalej »

Bezprzewodowe podsłuchiwanie PINu do sprzętowego portfela kryptowalut

15 września 2019, 12:32 | W biegu | 0 komentarzy
Bezprzewodowe podsłuchiwanie PINu do sprzętowego portfela kryptowalut

W przypadku tego urządzenia, procedura jest dość prosta. Najpierw wykonano 100-krotne naciśnięcie każdej z cyfr PIN-u jednocześnie analizując to co dzieje się na radiu. https://leveldown.de/pin_trainer.m4v Zapisanie danych radiowych zostało wykonane z pomocą GNURadio oraz HackRF. Dane zostały użyte jako wejście dla machine learningu (w tym przypadku Tensoflow). Efekt? Skuteczność 96% w kontekście…

Czytaj dalej »

Podsłuchiwanie telefonów satelitarnych (na celowniku konstelacja satelitów Iridium)

14 września 2019, 18:01 | W biegu | 1 komentarz
Podsłuchiwanie telefonów satelitarnych (na celowniku konstelacja satelitów Iridium)

66 satelitów konstelacji Iridium cały czas krąży nad nami. Zapewniają one m.in. możliwość prowadzenia rozmów (z wykorzystaniem telefonów satelitarnych). Projekt powstał wiele lat temu i jak można się domyślić, nie zapewnia natywnie szyfrowania danych. Tutaj możecie zobaczyć zastosowanie SDR-a właśnie do podsłuchu danych z satelitów Iridium (w tym odgrywanie audio):…

Czytaj dalej »

Jak warto dbać o bezpieczeństwo? Wyniki ankiety sekuraka

14 września 2019, 13:13 | W biegu | 1 komentarz

Ostatnio w ramach badania na naszych kanałach społecznościowych sprawdzaliśmy, jakie czynności w zakresie bezpieczeństwa IT są najważniejsze dla osób mocno związanych z IT, jak również pozostałych użytkowników.  W ankiecie wzięło 1638 osób, a jak widać poniżej, wśród czytelników sekuraka dominują osoby związane z IT, a te które nie wiedzą nic…

Czytaj dalej »

Eskalacja uprawnień do root na serwerze HTTP Apache. Exploit aktywuje się o 6:25 każdego dnia

13 września 2019, 14:20 | W biegu | 1 komentarz

Podatność została załatana już w kwietniu, teraz mamy bardzo szczegółowe informacje odnośnie samej podatności + jako bonus exploit wykorzystujący 0-day w PHP (choć warto podkreślić że do wykorzystania błędu nie jest konieczny sam PHP, autor zaprezentował PoCa tylko ze względu na popularność tej pary). Tak jak wspomniałem w tytule, podatność…

Czytaj dalej »

Wbijaj z sekurakiem na konferencję PWNing (-20% z kodem: SEKURAK2019)

13 września 2019, 13:21 | W biegu | 0 komentarzy

Jesteśmy partnerem medialnym PWNingu, poniżej więcej informacji. W każdym razie do zobaczenia na miejscu; jak w temacie – kod SEKURAK2019 daje Wam -20% przy rejestracji :-) 14-15 listopada w Warszawie odbędzie się konferencja „SECURITY PWNing” dedykowana szeroko rozumianej tematyce bezpieczeństwa IT. Wzorem trzech poprzednich edycji jej organizatorem jest Instytut PWN,…

Czytaj dalej »