W biegu

Wśród czytelników sekuraka prawie nikt nie korzysta ze „zwykłej” przeglądarki

15 lipca 2018, 11:38 | W biegu | komentarzy 15

Ostatnio zapytaliśmy naszych czytelników o to w jaki sposób korzystają z weba (zachęcam od razu do kolejnego głosowania). Oto wyniki: Tylko 10% osób korzysta ze standardowej przeglądarki, natomiast aż 9% po prostu wyłącza JavaScript. Nieźle. Warto też dodać, że również w standardowych przeglądarkach bywają dostępne wbudowane opcje blokowania śledzenia użytkownika. Firefox:…

Czytaj dalej »

Nie podasz PINu do telefonu? Do aresztu!

14 lipca 2018, 10:25 | W biegu | komentarze 3

Kontrola drogowa w stanie Floryda, zlokalizowanie w samochodzie substancji psychoaktywnych i pistoletu. Jako dowód policja zabezpieczyła również dwa telefony. Jeden z nich w trakcie całej akcji otrzymał wiadomość: OMG, did they find it Choć jak można przeczytać, nie wiadomo czym miałoby być „it”. W trakcie procesu sędzia nakazał oskarżonemu odblokowanie…

Czytaj dalej »

Używałeś npm-a w ostatnim czasie – możesz mieć już zbackdoorowany kod!

12 lipca 2018, 18:16 | W biegu | 0 komentarzy

Właśnie wykryto backdoora w jednym z pakietów dostępnych w npm (ESLint-scope – 2 500 000 pobrań w ostatnim tygodniu). Atak odbył się najprawdopodobniej przez wykradzenie danych dostępowych dewelopera i upload złośliwego kodu. Co nas może obchodzić backdoor w jakimś „niszowym” pakiecie? Odpowiedź: zależności npm. Pakiet włącza choćby ESLint (~3 300 00…

Czytaj dalej »

Chciała przewieźć pytona samolotem w obudowie na dyski twarde.

12 lipca 2018, 14:06 | W biegu | komentarze 2

Temat pytona jest ostatnio modny w kraju nad Wisłą. Tymczasem w Miami, niedoszła pasażerka samolotu chciała przewieźć swojego węża w obudowie na zewnętrzne dyski twarde (dokładniej: „dual bay RAID external enclosure”). Podejrzenia pracowników TSA wzbudziły substancje organiczne w elektronice. Dokładniejsza ręczna kontrola wykazała takiego oto zwierzaka: –ms

Czytaj dalej »

Dostępny publicznie w necie analizator tablic rejestracyjnych: zdjęcia samochodów / same tablice rejestracyjne / …

12 lipca 2018, 11:11 | W biegu | komentarze 2

Z cyklu namierzone na Twitterze. Publiczny adres IP, brak jakiegokolwiek uwierzytelnienia:   Na zrzutach trochę zamazaliśmy – bo trwa znęcanie się nad tą maszyną i znajdowanie coraz to nowych smaczków… Po początku adresu IP (ew. po widocznej architekturze) można wnioskować przynajmniej o rejonie akcji (hint: nie Polska ;) Jak też…

Czytaj dalej »

Jeden cheat sheet do wszystkiego*

12 lipca 2018, 10:37 | W biegu | komentarzy 6

Potrzebny tylko curl i URL: https://cheat.sh/ Twórca zachwala projekt w ten sposób: Unified access to the best community driven cheat sheets repositories of the world. Covers 55 programming languages, several DBMSes, and more than 1000 most important UNIX/Linux commands Can be used directly from code editors, without opening a browser and…

Czytaj dalej »

Dostęp do systemów bezpieczeństwa lotniska, dokumentacje do amerykańskich wojskowych dronów – w darknecie handel kwitnie

11 lipca 2018, 21:33 | W biegu | komentarze 2

McAfee donosi o wystawionym na sprzedaż dostępie RDP do zhackowanego systemu dużego lotniska. I nie chodzi tu przykładowo o mało istotne infokioski czy elektroniczne bannery reklamowe, ale o dość krytyczne systemy: security and building automation systems Cena? $10 Z kolei firma Recorded Future wskazuje różne dokumentacje, które ktoś prawdopodobnie pobrał…

Czytaj dalej »

Intel zapłacił za podatność $100 000 – szczegóły

11 lipca 2018, 15:52 | W biegu | 1 komentarz

Najpierw na platformie Hackerone pokazała się dość enigmatyczna informacja o przyznaniu w ramach programu bug bounty nagrody w wysokości $100 000: A niewiele później otrzymaliśmy szczegóły – są to nowe odmiany najniebezpieczniejszego pierwszego wariantu znanej podatności Spectre (przypominamy, oryginalna podatność umożliwiała wykradanie pamięci z systemu operacyjnego oraz z innych aplikacji). Nowe…

Czytaj dalej »

Facebook ma dostać maksymalną karę za „data breach” – sprawa Cambridge Analytica

11 lipca 2018, 10:23 | W biegu | 0 komentarzy

Brytyjski ICO (odpowiednik naszego Urzędu Ochrony Danych Osobowych) proponuje dla Facebooka maksymalną karę (wg przepisów ochrony danych osobowych sprzed GDPR/RODO jest to 500 000 funtów). Jako powód wymienia się np. to: The Information Commissioner’s Office said Facebook had failed to ensure another company – Cambridge Analytica – had deleted users’…

Czytaj dalej »

iPhone: Apple ograniczyło dostęp do urządzeń USB. Da się obejść adapterem do aparatu

10 lipca 2018, 19:10 | W biegu | komentarze 2

Pojawiające się na rynku urządzenia potrafiące łamać kod do iPhone-ów w sensownym czasie, skłoniły producenta do wprowadzenia restrykcji dotyczącej komunikacji telefonu z zewnętrznymi urządzeniami USB. Tzw. USB restricted mode miał się pojawić w zupełnie nowym iOS (v12), tymczasem znienacka gruchnęła informacja o wprowadzeniu tej funkcji (domyślnie wyłączonej) już w iOS…

Czytaj dalej »

admin:admin zawsze w cenie – dostęp do 2 milionów linijek kodu operatora telco

10 lipca 2018, 13:27 | W biegu | 1 komentarz

Sprawa była opisana już nieco wcześniej, ale dopiero teraz autor znaleziska pokazał szczegóły. Owe szczegóły to dosyć odważne poczynania w ramach niezamówionych pentestów systemów IT największego operatora telco w Wielkiej Brytanii. Najpierw rekonesans domen, łącznie z optymalizacją w formie zrobienia screenshotów na usługach http. Potem namierzenie domeny: sonarqube.intdigital.ee.co.uk – gdzie dostępne było…

Czytaj dalej »