W biegu

Dostępna nowa wersja VeraCrypta – darmowego, świetnego narzędzia do szyfrowania dysków / danych na pendriveach

08 października 2019, 11:05 | W biegu | 1 komentarz
Dostępna nowa wersja VeraCrypta – darmowego, świetnego narzędzia do szyfrowania dysków / danych na pendriveach

Po nieoczekiwanej „śmierci” TrueCrypt-a dużo osób zaczęło korzystać z VeraCrypta. Narzędzie ma się dobrze: na szczęście jest aktualizowane o nowe funkcje bezpieczeństwa, po drugie łatane są błędy. Ostatnio z tych pierwszych dodano np. ochronę przed częścią ataków klasy cold boot: Erase system encryption keys from memory during shutdown/reboot to help mitigate…

Czytaj dalej »

Oto bomba YAML-owa potrafi zniszczyć API Kubernetesa

07 października 2019, 22:38 | W biegu | 0 komentarzy
Oto bomba YAML-owa potrafi zniszczyć API Kubernetesa

Podatność XML Bomb (aka Billion Laughs Attack) być może jest Wam znana. Taki prosty XML, powoduje powstanie w pamięci miliarda lolów: Ale może mniej osób zna odmianę tego problemu w YAML-u. W Kubernetesie (czy dokładniej oferowanym przez ten produkt API) zgłoszono właśnie podatność YAML Bomb: CVE-2019-11253 is a YAML parsing…

Czytaj dalej »

Nowa podatność masakrująca API RESTowe. Jeśli jesteś programistą lepiej to zobacz…

07 października 2019, 22:27 | W biegu | komentarze 4
Nowa podatność masakrująca API RESTowe. Jeśli jesteś programistą lepiej to zobacz…

Chodzi o niby znaną od dłuższego czasu klasę Mass Assignment, która najwyraźniej przeżywa drugą młodość. Przesyłasz np. JSON-em dane nowego użytkownika do API, co jest mapowane na stosowny obiekt i zapisywane do bazy. Proste ale i niebezpieczne. Bo co się stanie, jeśli ktoś do JSON-a doda klucz „admin”: true ?. Będziemy…

Czytaj dalej »

Reductor: nowy malware w cichy sposób przechwytuje ruch HTTPS. Łata w locie generator liczb pseudolosowych przeglądarek

07 października 2019, 21:51 | W biegu | 0 komentarzy
Reductor: nowy malware w cichy sposób przechwytuje ruch HTTPS. Łata w locie generator liczb pseudolosowych przeglądarek

Mowa o malware  wykrytym przez zespół Kaspersky – na celowniku znajdują się kraje Wspólnoty Niepodległych Państw. Sposoby infekcji są dwa. Pierwszy z nich wykorzystuje pobieranie modułów Reductora przez znane złośliwe oprogramowanie COMpfun. Drugi wektor ataku wykorzystuje warezy, czyli serwisy, z których za darmo można pobrać płatne programy (nie jest to oczywiście…

Czytaj dalej »

Atak na Koalicję Obywatelską i innych użytkowników Twittera. Zmiana hasła nie pomaga (!)

06 października 2019, 21:57 | W biegu | komentarzy 7
Atak na Koalicję Obywatelską i innych użytkowników Twittera. Zmiana hasła nie pomaga (!)

Zobaczcie na tego dość niepokojącego, ale zarazem niewiele mówiącego tweeta: #SilniRazem trwa atak wirusowy na naszą wspólnotę. Nie otwierajcie wiadomości prywatnych z linkiem. One nie pochodzą od waszych znajomych. To wirus ‼️‼️‼️ Podajcie dalej 🔁 — Koalicja Obywatelska ✌️🇵🇱 (@KObywatelska) October 6, 2019 Co to za tajemniczy „wirus”? W dużym…

Czytaj dalej »

Sędzia z Łodzi zgubił pendrive z projektami wyroków, uzasadnieniami, danymi osobowymi…

06 października 2019, 17:00 | W biegu | komentarze 2

O tym fakcie informuje sąd okręgowy w Łodzi. Poza projektami wyroków czy uzasadnień do nich, na nośniku mogła znajdować się cała masa ciekawych danych: Na wskazanym nośniku zapisane były projekty orzeczeń czyli postanowień, wyroków oraz uzasadnień do nich (…) Mogło dojść do opisania schorzeń, rokowań, wskazania czasokresu zwolnienia itp (…) …

Czytaj dalej »

Google za moment udostępni w Chrome mechanizm sprawdzenia czy Twoje hasło nie wyciekło

05 października 2019, 23:24 | W biegu | komentarze 4

Cały mechanizm Google podsumowuje w tym miejscu. Stosowne rozszerzenie do Chrome było dostępne od jakiegoś czasu, do końca roku Google zapowiedział że będzie wbudowane w Chrome. Co więcej już obecnie można korzystać z managera haseł dla konta Google, a niedawno zyskał on funkcję audytu haseł. Lista loginów/haseł zapisanych w przeglądarce…

Czytaj dalej »

Wymagane skanowanie twarzy aby otrzymać numer GSM / dostęp do danych mobilnych [Chiny]

05 października 2019, 17:10 | W biegu | komentarzy 5
Wymagane skanowanie twarzy aby otrzymać numer GSM / dostęp do danych mobilnych [Chiny]

Najpierw dostęp anonimowy, później wymaganie posiadania ID do rejestracji karty SIM. Chiny jednak idą dalej – od grudnia aby uzyskać numer GSM czy dostęp do danych mobilnych należało będzie się poddać skanowaniu twarzy. Stosowne chińskie ministerstwo krok ten tłumaczy oczywiście troską o obywateli :-) MIIT said the step was part…

Czytaj dalej »

Handlował danymi wykradzionymi ze zhackowanych serwerów (na celowniku 100 krajów!). Aktywne sesje, credentiale trzymał w … Excelu?!?

05 października 2019, 12:35 | W biegu | 0 komentarzy

Taka weekendowa ciekawostka. Ukraińska policja ujęła właśnie mężczyznę, który sprzedawał dane ze zhackowanych serwerów. Niby normalna sprawa, warty jednak uwagi jest zmysł biznesowy ‚hackera’. Sprawnie działał zarówno departament reklamy i marketingu: To attract clients, he placed ads on remote sites on specialized sites and forums. Oczywiście sama reklama nic nie…

Czytaj dalej »

Na odkurzaczu Xiaomi można kopać Bitcoiny, choć nie jest to zbytnio wydajne ;-)

04 października 2019, 21:35 | W biegu | komentarze 3

Ciekawa prezentacja (w języku angielskim, plik PDF ze slajdami jest tutaj) dotycząca uzyskiwania uprawnień roota na inteligentnym odkurzaczu od Xiaomi. Przedstawiono m.in. jak dostać się do systemu (w tym przypadku wspierany, ale już trochę przestarzały Ubuntu 14.04 LTS), jak działa chmura Xiaomi oraz w jaki sposób odłączyć urządzenie od tej…

Czytaj dalej »

Wyciekł jeden z exploitów używanych przez Pegasusa? Google łata w Androidzie aktywnie wykorzystywanego 0-daya

04 października 2019, 21:17 | W biegu | 1 komentarz
Wyciekł jeden z exploitów używanych przez Pegasusa? Google łata w Androidzie aktywnie wykorzystywanego 0-daya

Niecodzienna historia. Projekt Google 0-day zgłosił podatność w Androidzie z raptem 7-dniowym zachowaniem poufności szczegółów. Po tym czasie zostały ujawnione pełne informacje o podatności. Błąd jest klasy privilege escalation do roota, z możliwością wykorzystania nawet z sandboksa Chrome (czyli jeśli mamy stosowny bug w mobilnym Chrome, po jego wykorzystaniu można…

Czytaj dalej »

Kobieca wersja maila z autentycznym PESELEM. „Jesteś dziwką, mamy Twoje poufne dane. Płać”

03 października 2019, 10:29 | W biegu | komentarzy 18

Docierają do nas kolejne spekulacje odnośnie (prawdopodobnie jeszcze nieujawnionego) źródła wycieku danych osobowych zawierających m.in. numery PESEL i lokalizacje użytkowników. Tym razem ktoś podesłał wersję e-maila, która kierowana jest do kobiet. Jeśli ktoś dostał tego typu wiadomość i pamiętał, że podawał swój PESEL np. tylko w jednym miejscu dostępnym on-line,…

Czytaj dalej »

Tajemniczy wyciek numerów PESEL. Kolejna wyciek-afera tuż za rogiem?

02 października 2019, 20:54 | W biegu | komentarzy 11

Kolejni czytelnicy zgłaszają nam, że otrzymali od ‚hackerów’ e-mail ze swoim prawdziwym numerem PESEL (oraz numerem telefonu czy lokalizacją). Email zawiera groźbę publikacji poufnych danych o odbiorcy wiadomości… chyba że nastąpi wpłata odpowiedniej liczby BTC. Sam PESEL (jeszcze raz to podkreślmy) jest prawdziwy służy tylko uwiarygodnieniu całej historii. Co ciekawe…

Czytaj dalej »