W biegu

Przydatne mapy myśli – bezpieczeństwo IT

22 maja 2018, 12:40 | W biegu | komentarze 3

Zestaw dostępny do pobrania jest tutaj. Część starsza, część nowsza. Testowanie bezpieczeństwa WiFi, PKI, przeglądy bezpieczeństwa infrastruktury, zabezpieczanie domowego komputera, przegląd po popularnych technologiach VPN-owych, … W każdym razie dobry materiał na uporządkowanie, uzupełnienie swojej wiedzy :) –ms

Czytaj dalej »

Hacking Party Warszawa – minirelacja

21 maja 2018, 21:32 | W biegu | komentarzy 6

W ostatni piątek mieliśmy pierwsze hacking party w Warszawie, około 300 osób, świetna atmosfera i miejmy nadzieję poruszające prezentacje ;) Wyglądało to mniej więcej tak: Opowiadaliśmy trochę o bezpieczeństwie API, pokazywaliśmy hackowanie kamery, wprowadzaliśmy w tajniki XSS na przykładach prostych i bardziej złożonych :-) Jeśli ktoś był – dajcie znać…

Czytaj dalej »

0-day na routery Draytek – przejmują urządzenia. 21 000 urządzeń w Polsce

19 maja 2018, 11:14 | W biegu | komentarze 4

Na wielu modelach Draytek-a można uzyskać bez uwierzytelnienia dostęp administracyjny. Producent dopiero pracuje nad nowym firmware łatającym problem, a podatność jest aktywnie wykorzystywana (zmiana serwera DNS na złośliwy i w ten sposób atak na użytkowników korzystających z routera). Prawdopodobnie atak wykorzystuje lukę w panelu webowym (producent jako chwilowe rozwiązanie problemu…

Czytaj dalej »

Anonimowo można było namierzać lokalizację niemal wszystkich telefonów komórkowych w USA

18 maja 2018, 00:16 | W biegu | komentarze 2

Brian Krebs donosi o podatności w API firmy LocationSmart:  it could be used to reveal the location of any AT&T, Sprint, T-Mobile or Verizon phone in the United States to an accuracy of within a few hundred yards. Sam autor znaleziska pisze wręcz o możliwości namierzania w czasie rzeczywistym lokalizacji „wszystkich” telefonów komórkowych w USA: I…

Czytaj dalej »

RODO – Senat RP przyjął bez poprawek nową Ustawę o ochronie danych osobowych.

17 maja 2018, 17:59 | W biegu | komentarzy 5

Senat RP przyjął bez dodatkowych poprawek nową Ustawę o ochronie danych osobowych. Ustawa zostanie skierowana teraz do podpisu przez Prezydenta RP. Jeżeli Prezydent podpiszę ustawę, będzie ona musiała być opublikowana w Dzienniku Ustaw, a następnie po okresie „vacatio legis” (którego podstawowa minimalna długość w naszym porządku prawnym wynosi 14-dni https://pl.wikipedia.org/wiki/Vacatio_legis ) będzie…

Czytaj dalej »

Podstawionym DHCP można mieć zdalnie roota na RedHatach

16 maja 2018, 09:33 | W biegu | 0 komentarzy

RedHat załatał właśnie krytyczną podatność umożliwiającą wstrzyknięcie dowolnego polecenia (jako root) z pozycji podstawionego serwera DHCP. Można też po prostu być w sieci i opowiedzieć szybko na wysłane wcześniej zapytanie DHCP (takie możliwości daje choćby ettercap czy bettercap). Jeden z badaczy przygotował PoC-a (a raczej juz działający exploit), który… zmieścił…

Czytaj dalej »

RODO – Ustawa o ochronie danych osobowych uchwalona przez Sejm

14 maja 2018, 11:39 | W biegu | komentarzy 5

W dniu 10.05.2018 Sejm uchwalił Ustawę o ochronie danych osobowych większością 233 głosów, przeciwko głosowało 176 posłów, a 25 wstrzymało się od oddania głosu. Ustawa została przekazane do Senatu. Celem stworzenia nowej Ustawy o ochronie danych osobowych jest doregulowanie detali związanych z wprowadzeniem RODO do Polskiego porządku prawnego w zakresie,…

Czytaj dalej »

Można deszyfrować maile: PGP oraz S/MIME – ostrzeżenie, a pełne szczegóły jutro

14 maja 2018, 08:39 | W biegu | komentarze 4

Sieć obiega właśnie informacja o wykrytej luce w PGP oraz S/MIME. Komunikat brzmi jednoznacznie: Zagrożenie wynikające z podatności wydaje się więc dość jasno sprecyzowane. Wątpliwości mogą jednak budzić zaproponowane zalecenia: Niestety ze względu na brak szczegółów na razie musimy opierać się jedynie na domysłach. Tak skonstruowane zalecenie może oczywiście oznaczać…

Czytaj dalej »

Spring: seria krytycznych bugów – w tym wykonanie kodu na serwerze w komponencie OAUTH2

10 maja 2018, 18:36 | W biegu | 0 komentarzy

Jeśli używasz Springa i użyłeś jego komponentu OAUTH2 do zbudowania Authorization Serwera, lepiej sprawdź czy nie jesteś podatny na wykonanie kodu na serwerze (bez uwierzytelnienia). Wymagane warunki: Act in the role of an Authorization Server (e.g. @EnableAuthorizationServer) Use the default Approval Endpoint Kolejny, właśnie załatany problem to: CVE-2018-1258: Unauthorized Access with…

Czytaj dalej »

Manager haseł 1Password podpowiada czy jakieś z Twoich haseł nie zostało skompromitowane

10 maja 2018, 14:44 | W biegu | komentarzy 12

Zacznijmy od końca czyli od nowego modułu Watchtower dostępnego w 1Password. Daje on m.in. automatyczny audyt obecnie używanych przez nas haseł, ale posiada też kilka różnych ciekawostek – typu automatyczne wskazywanie, że domena do której przechowujemy hasło (np. amazon.com) ma wsparcie dla 2FA i może warto jego użyć:   Cofając…

Czytaj dalej »

Sekurak na Confidence – mamy aż 6 prezentacji!

10 maja 2018, 09:47 | W biegu | 0 komentarzy

W zeszłym roku na Confidence prowadziłem prezentację o hackowaniu kamer (nie zabrakło hackowania na żywo). Tym razem zmiana tematu i pokażę 20 przypadków podatności w różnych API RESTowych. To temat, o którym w necie nie znajdziecie wiele, albo znajdziecie zaledwie fragmentaryczne informacje. Nie zabraknie też hackowania na żywo, gdzie atakowany…

Czytaj dalej »

RouterSploit – narzędzie do automatycznego eksploitowania IoT

09 maja 2018, 12:30 | W biegu | 0 komentarzy

Dostępna jest wersja 3 RouterSploita. Mamy tu przeszło 100 gotowych exploitów na różne urządzenia IoT, moduł sprawdzający czy urządzeniu ktoś nie pozostawił domyślnych danych do logowania; jest również skanowanie pobliskich urządzeń korzystających z BLE. Filmik pokazujący narzędzie w akcji możecie zobaczyć tutaj. Odpalenie konkretnego exploita też raczej jest proste: –ms

Czytaj dalej »

Lista dobrych praktyk bezpieczeństwa dla programistów? OWASP Top Ten Proactive Controls Project.

08 maja 2018, 19:19 | W biegu | 0 komentarzy

Mamy OWASP Top Ten, mamy OWASP ASVS (również w wersji mobilnej) – ale to dokumenty albo dla zupełnie początkujących (Top Ten), albo dla zaawansowanych i to z nastawieniem na testy (ASVS). Projekt OWASP udostępnia jednak mniej znany OWASP Top Ten Proactive Controls Project – czyli zestaw zaleceń dla programistów, dotyczący…

Czytaj dalej »
Strona 1 z 8712345...102030...Ostatnia »