Najpierw dobra informacja, jeśli nie używasz 2FA, nikt nie może więc przełamać tego mechanizmu ;-)) To oczywiście żart, bo korzystanie z dwu-czy wieloczynnikowego uwierzytelnienia jest zdecydowanie zalecane. Najczęstszym przykładem tego typu zabezpieczenia jest znana wszystkim z banków konieczność wprowadzenia dodatkowego kodu (najczęściej przesyłanego SMS-em) przy autoryzacji przelewów (jak więc widać…
Czytaj dalej »
Po nieoczekiwanej „śmierci” TrueCrypt-a dużo osób zaczęło korzystać z VeraCrypta. Narzędzie ma się dobrze: na szczęście jest aktualizowane o nowe funkcje bezpieczeństwa, po drugie łatane są błędy. Ostatnio z tych pierwszych dodano np. ochronę przed częścią ataków klasy cold boot: Erase system encryption keys from memory during shutdown/reboot to help mitigate…
Czytaj dalej »
Podatność XML Bomb (aka Billion Laughs Attack) być może jest Wam znana. Taki prosty XML, powoduje powstanie w pamięci miliarda lolów: Ale może mniej osób zna odmianę tego problemu w YAML-u. W Kubernetesie (czy dokładniej oferowanym przez ten produkt API) zgłoszono właśnie podatność YAML Bomb: CVE-2019-11253 is a YAML parsing…
Czytaj dalej »
Chodzi o niby znaną od dłuższego czasu klasę Mass Assignment, która najwyraźniej przeżywa drugą młodość. Przesyłasz np. JSON-em dane nowego użytkownika do API, co jest mapowane na stosowny obiekt i zapisywane do bazy. Proste ale i niebezpieczne. Bo co się stanie, jeśli ktoś do JSON-a doda klucz „admin”: true ?. Będziemy…
Czytaj dalej »
Mowa o malware wykrytym przez zespół Kaspersky – na celowniku znajdują się kraje Wspólnoty Niepodległych Państw. Sposoby infekcji są dwa. Pierwszy z nich wykorzystuje pobieranie modułów Reductora przez znane złośliwe oprogramowanie COMpfun. Drugi wektor ataku wykorzystuje warezy, czyli serwisy, z których za darmo można pobrać płatne programy (nie jest to oczywiście…
Czytaj dalej »
Popatrzcie jak w USA wygląda postępowanie dotyczące wycieku danych. Mowa w tym przypadku o Yahoo. W pozwie zbiorowym (*) możliwości są takie: Dwa lata bezpłatnego monitoringu kredytowego Od $100 – $358 wypłaty do kieszeni jeśli już takowy posiadasz Do $25 000 (!) jeśli w związku z włamaniem ktoś wykradł Ci tożsamość:…
Czytaj dalej »
Zobaczcie na tego dość niepokojącego, ale zarazem niewiele mówiącego tweeta: #SilniRazem trwa atak wirusowy na naszą wspólnotę. Nie otwierajcie wiadomości prywatnych z linkiem. One nie pochodzą od waszych znajomych. To wirus ‼️‼️‼️ Podajcie dalej 🔁 — Koalicja Obywatelska ✌️🇵🇱 (@KObywatelska) October 6, 2019 Co to za tajemniczy „wirus”? W dużym…
Czytaj dalej »
O tym fakcie informuje sąd okręgowy w Łodzi. Poza projektami wyroków czy uzasadnień do nich, na nośniku mogła znajdować się cała masa ciekawych danych: Na wskazanym nośniku zapisane były projekty orzeczeń czyli postanowień, wyroków oraz uzasadnień do nich (…) Mogło dojść do opisania schorzeń, rokowań, wskazania czasokresu zwolnienia itp (…) …
Czytaj dalej »
Cały mechanizm Google podsumowuje w tym miejscu. Stosowne rozszerzenie do Chrome było dostępne od jakiegoś czasu, do końca roku Google zapowiedział że będzie wbudowane w Chrome. Co więcej już obecnie można korzystać z managera haseł dla konta Google, a niedawno zyskał on funkcję audytu haseł. Lista loginów/haseł zapisanych w przeglądarce…
Czytaj dalej »
![Wymagane skanowanie twarzy aby otrzymać numer GSM / dostęp do danych mobilnych [Chiny]](https://sekurak.pl/wp-content/uploads/2019/10/twarz-150x150.jpeg "Wymagane skanowanie twarzy aby otrzymać numer GSM / dostęp do danych mobilnych [Chiny]")
Najpierw dostęp anonimowy, później wymaganie posiadania ID do rejestracji karty SIM. Chiny jednak idą dalej – od grudnia aby uzyskać numer GSM czy dostęp do danych mobilnych należało będzie się poddać skanowaniu twarzy. Stosowne chińskie ministerstwo krok ten tłumaczy oczywiście troską o obywateli :-) MIIT said the step was part…
Czytaj dalej »
Taka weekendowa ciekawostka. Ukraińska policja ujęła właśnie mężczyznę, który sprzedawał dane ze zhackowanych serwerów. Niby normalna sprawa, warty jednak uwagi jest zmysł biznesowy 'hackera’. Sprawnie działał zarówno departament reklamy i marketingu: To attract clients, he placed ads on remote sites on specialized sites and forums. Oczywiście sama reklama nic nie…
Czytaj dalej »
Atak jest dość prosty: dzwonię Signalem do ofiary, ale ona nie odbiera. To nic, można ją odpowiednimi pakietami zmusić do odebrania rozmowy (bez jej wiedzy) i dalej słuchamy dźwięku. W opisie błędu „Signal: Incoming call can be connected without user interaction” czytamy: Using a modified client, it is possible to…
Czytaj dalej »
Ciekawa prezentacja (w języku angielskim, plik PDF ze slajdami jest tutaj) dotycząca uzyskiwania uprawnień roota na inteligentnym odkurzaczu od Xiaomi. Przedstawiono m.in. jak dostać się do systemu (w tym przypadku wspierany, ale już trochę przestarzały Ubuntu 14.04 LTS), jak działa chmura Xiaomi oraz w jaki sposób odłączyć urządzenie od tej…
Czytaj dalej »
Niecodzienna historia. Projekt Google 0-day zgłosił podatność w Androidzie z raptem 7-dniowym zachowaniem poufności szczegółów. Po tym czasie zostały ujawnione pełne informacje o podatności. Błąd jest klasy privilege escalation do roota, z możliwością wykorzystania nawet z sandboksa Chrome (czyli jeśli mamy stosowny bug w mobilnym Chrome, po jego wykorzystaniu można…
Czytaj dalej »
Docierają do nas kolejne spekulacje odnośnie (prawdopodobnie jeszcze nieujawnionego) źródła wycieku danych osobowych zawierających m.in. numery PESEL i lokalizacje użytkowników. Tym razem ktoś podesłał wersję e-maila, która kierowana jest do kobiet. Jeśli ktoś dostał tego typu wiadomość i pamiętał, że podawał swój PESEL np. tylko w jednym miejscu dostępnym on-line,…
Czytaj dalej »
