Jeśli ktoś się przygotowuje na scenariusz z Fallouta, powinien zapoznać się z tym systemem operacyjnym, tworzonym w modelu OpenSource. Idea jest prosta: całość ma działać na komponentach, które uda się wyciągnąć z elektrozłomu. Trudno powiedzieć czy do zasilania wystarczy np. bateria z cytryny, ale pomysł na pewno jest interesujący. Twórca…
Czytaj dalej »
Z jednej strony to tylko „zwykły ekran” proszący o login i hasło, z drugiej strony ten błąd uniemożliwia zamknięcie popupu, ale i też całej przeglądarki (można ją zamknąć na liście procesów, ale dla nietechnicznych użytkowników to trochę bardziej skomplikowana czynność). „W każdym razie, potrzebujesz pomocy z załatwieniem tematu? Zadzwoń na…
Czytaj dalej »
Instalujesz pod Windows oprogramowanie do obsługi video. Wszystko fajnie, tylko nieświadomie odpalałeś usługę działającą na localhost (port 7440), która z pośrednictwem mechanizmu WebSocketów wystawiała nieuwierzytelnione, pracujące z uprawnieniami SYSTEM API. API z kolei udostępniało ciekawy ficzer – umożliwiający uruchomienie dowolnej binarki. Całą akcję można zobaczyć na filmiku tutaj. Ubiquiti załatało podatność w wersji v3.10.7…
Czytaj dalej »
FBI właśnie najechało siedzibę firmy Aventura Technologies. Aresztowano też jej szefów. Zarzuty? Dość poważne – sprzedaż sprzętu Armii USA, który deklarowany był jako pochodzący z USA – tymczasem kupowano go w Chinach, naklejano stosowne naklejki i po sprawie: The scheme carried out by Aventura Technologies exposed the federal government and multiple military…
Czytaj dalej »
Zazwyczaj nie jest to tak, że ransomware czy inny atak na infrastrukturę szpitala zabija pacjentów. Podobnie jak jeden papieros czy jeden dzień wdychania krakowskiego powie^H smogu nie kładzie od razu do grobu. Natomiast takie powolne procesy, mając odpowiednio dużą próbkę, można badać. Pełną wersję badania (pod lupę wzięto przeszło 3000…
Czytaj dalej »
Microsoft opublikował względnie rozbudowaną analizę ostatniej fali ataków na systemy Windows. Wykorzystana została tutaj załatana już podatność BlueKeep (bez uwierzytelnienia można przejąć niezałatane systemy, wysyłając odpowiednio złośliwą komunikację RDP). Microsoft również dodaje, że obecnie obserwowano falę instalacji koparek kryptowalut, ale prawdopodobnie pojawią się o wiele groźniejsze warianty: In addition, while…
Czytaj dalej »
Aż trudno zgadywać gdzie tutaj mógł być przekręt. Zatrzymany w Katowicach mężczyzna miał przy sobie 9 podrobionych dowodów osobistych, a wyłudził kredyt na 47 000 złotych korzystając z telefonu, który wziął od znajomej „w celu naprawy”. Można teraz się zastanawiać: OK, koleżka mógł odczytać SMS-y ale co z uwierzytelnieniem w…
Czytaj dalej »
Kara w wysokości ~200 000 zł za m.in. „utrudnianie realizacji prawa do wycofania zgody na przetwarzanie danych osobowych.” została nałożona na spółkę ClickQuickNow przez UODO. Najciekawszy chyba jest ten fragment: spółka w procesie wycofania zgody nie uwzględniła zasady zgodnie, z którą wycofanie zgody powinno być równie łatwe jak jej wyrażenie – wręcz odwrotnie…
Czytaj dalej »
Podatność zaprezentowano w ramach tegorocznego konkursu Pwn2Own. Błąd jest klasy buffer overflow i występuje w komponencie baseband telefonu (czyli komunikującym się bezprzewodowo z siecią GSM). Wystarczy więc odpowiednia stacja bazowa i wysyłamy złośliwą komunikację do telefonu. Poniżej wprawdzie widać, że badacze utworzyli zdalnie swój plik na telefonie, ale informacja że…
Czytaj dalej »
O temacie doniósł CERT Polska: Uwaga! Ostrzegamy przed #phishing kierowanym do użytkowników @Allegro_Group. W scenariuszu kampanii ofiara jest informowana o niedopłacie do salda konta z krótkim terminem płatności. Domena wykradająca hasła użytkowników to 2-login.alleqro-pl.choljai[.]info. Mail wygląda w ten sposób i „na szczęście”, przynajmniej jeśli oprzeć się na relacji CERT-u, nie…
Czytaj dalej »
Google assistant, Siri czy Amazon Alexa – wszystkie da się zmylić w ten zaskakujący sposób. Badacze pokazali laser, którym „strzelają” w docelowe urządzenie (w pokazach demo widać, że może być to zrealizowane nawet przez szybę!). Wiązka lasera przekazuje wcześniej nagrany (dowolny) głos, który nie jest słyszalny dla ofiary (jest za…
Czytaj dalej »
Wg kolegów z X-LAB (Tencent) podatne jest w zasadzie wszystko (głównie rozmaite telefony oparte o Androida) + iPhone-y do 8 włącznie (Apple przeszedł później na inny sposób uwierzytelnienia biometrycznego: FaceID). W ramach LIVE demo na konferencji Geekpwn poprosili kogoś z publiczności o zostawienie odcisku palca na kieliszku oraz podanie swojego telefonu….
Czytaj dalej »
Informacja zaczęła wypływać chyba od tego dość alarmującego Twitta: So, it’s public now. Domain controller-level access at Kudankulam Nuclear Power Plant. The government was notified way back. Extremely mission-critical targets were hit. Rząd w Indiach najpierw zdementował informację, niewiele później jednak ją potwierdził (choć bez podania szczegółów ataku). Co ciekawe,…
Czytaj dalej »
Książka o bezpieczeństwie aplikacji webowych do kupienia jest tutaj. Spis treści tutaj, przykładowy rozdział – tutaj. Jak zdobyć za darmo naszą książkę? Gdzieś tutaj macie dostępny kod (pierwsze dwie osoby, które go wyślą na adres sklep@securitum.pl dostaną darmową książkę z przesyłką!). Uwaga to już nasz drugi konkurs, więc w kodzie będzie…
Czytaj dalej »
Podatność o której pisaliśmy parę miesięcy temu dotyka wprawdzie Windowsa 7 (i niższych), ale umożliwia bez żadnej interakcji ofiary na otrzymanie pełnego dostępu administracyjnego na atakowanej maszynie. Sytuację pogarsza fakt, że w Metasploicie od jakiegoś czasu gotowy jest exploit na lukę. Tymczasem ktoś rzeczywiście zaczął atakować systemy dostępne z Internetu…
Czytaj dalej »
