Wygrałeś iPhone, tysiąc złotych, czy inne złote garnki. Z daleka wygląda podejrzanie – i takie jest, często ofiara kończy infekcją swojego komputera, co jest dalej monetyzowane na różne sposoby. Jest w tym (nielegalny) biznes, są też zatem środki na poszukiwanie specyficznych błędów klasy 0-day w przeglądarkach. Kampania eGobbler użyła aż…
Czytaj dalej »
![Kopał kryptowalutę na cloudzie Amazona. Niezapłacone rachunki na ~20 000 000 PLN. Grożą mu 34 lata więzienia [USA]](https://sekurak.pl/wp-content/uploads/2019/10/gpu-150x150.jpeg "Kopał kryptowalutę na cloudzie Amazona. Niezapłacone rachunki na ~20 000 000 PLN. Grożą mu 34 lata więzienia [USA]")
Historia z Singapuru. Oskarżony miał otwierać konta na infrastrukturze cloudowej Amazona (która udostępnia zarówno instancje CPU jak i GPU), korzystając m.in. z wykradzionych danych kart kredytowych: used victims’ personal and stolen credit card information, along with phony email addresses, which he created, designed to spoof the authentic email account of identity-theft victims,…
Czytaj dalej »
Zapewne wielu z Was zna tę popularną opcję na Twitterze czy Facebooku (i w wielu innych serwisach): aby zalogować się, należy poza loginem i hasłem podać również unikalny kod wysyłany SMS-em do użytkownika. Operacja wymaga wcześniejszego podania serwisowi numeru telefonu, który ma być wykorzystywany tylko w celach zwiększenia bezpieczeństwa. Tymczasem…
Czytaj dalej »
Dzięki projektowi wspieranemu przez Mozillę wykryto krytyczny błąd w narzędziu iTerm2 – bardzo popularnym w środowiskach wielbicieli komputerów Apple. O co chodzi? Jeśli używasz iTerma2 np. do odczytania plików, których zawartość dostarczy atakujący, możliwe jest wykonanie kodu w OS z Twoimi uprawnieniami: Ciekawy przykład podany jest tutaj. Atakujący wchodzi na…
Czytaj dalej »
Zobaczcie na ten wątek, który pozwoliliśmy sobie przetłumaczyć: Halo tu twój bank. Wykryliśmy podejrzaną transakcję kartą kredytową w Miami. Czy pan ją wykonywał? Nie OK, w celu weryfikacji że rozmawiam z Piotrem proszę o podanie swojego ID logowania do banku. Dziękujemy. Zaraz otrzyma Pan, z banku kod PIN, który proszę…
Czytaj dalej »
Ciekawa analiza aplikacji mobilnej do obsługi elektrycznych hulajnóg, czy dokładniej API mobilnego oferowanego przez firmę Bird. Dostęp do API nie jest jakoś specjalnie zabezpieczony od strony mobilnej (np. nie ma tutaj pinningu certyfikatów SSL). A korzystając z jednej funkcji API można np. bez problemu włączać / wyłączać alarm dźwiękowy (i…
Czytaj dalej »
Za odszyfrowanie dysku QNAPa miał zapłacić w BTC około 2000 PLN. Sam ransomware o nazwie Muhstik jest dość porządny, ale jego infrastruktura backendowa – mierna: i hacked back this criminal and get the whole database with keys, here it is: https://pastebin.com/N8ahWBni Tabela z kluczami deszyfrującymi ma prawie 3000 pozycji –…
Czytaj dalej »
Magento wypuściło właśnie paczkę łat. Pierwsza podatność zwala z nóg, bo w zasadzie gorzej być nie może – błąd wyceniony w skali CVSS na 10/10, to możliwość wykonania dowolnego kodu na serwerze (RCE), bez uwierzytelnienia: A remote code execution vulnerability exists in Magento 2.1 prior to 2.1.19, Magento 2.2 prior…
Czytaj dalej »
![Jak ukraść milion dolarów? – czyli przykłady technicznych ataków na aplikacje finansowe [nasza prezentacja na Secure]](https://sekurak.pl/wp-content/uploads/2019/10/twarzzz-150x150.jpeg "Jak ukraść milion dolarów? – czyli przykłady technicznych ataków na aplikacje finansowe [nasza prezentacja na Secure]")
Temat zaprezentuje Michał Bentkowski (obecnie na 9. pozycji na globalnej liście najlepszych bughunterów Google), autor kilku rozdziałów naszej książki, badacz (ostatnich kilka opracowań: ominięcie zabezpieczeń oferowanych przez DOMPurify, SSTI w systemie szablonów Pebble, analiza ekstremalnie niebezpiecznego elementu <portal>). Na tegorocznym Secure Michał pokaże dwie garści hacków, którym nie opierają się teoretycznie…
Czytaj dalej »
Najpierw dobra informacja, jeśli nie używasz 2FA, nikt nie może więc przełamać tego mechanizmu ;-)) To oczywiście żart, bo korzystanie z dwu-czy wieloczynnikowego uwierzytelnienia jest zdecydowanie zalecane. Najczęstszym przykładem tego typu zabezpieczenia jest znana wszystkim z banków konieczność wprowadzenia dodatkowego kodu (najczęściej przesyłanego SMS-em) przy autoryzacji przelewów (jak więc widać…
Czytaj dalej »
Po nieoczekiwanej „śmierci” TrueCrypt-a dużo osób zaczęło korzystać z VeraCrypta. Narzędzie ma się dobrze: na szczęście jest aktualizowane o nowe funkcje bezpieczeństwa, po drugie łatane są błędy. Ostatnio z tych pierwszych dodano np. ochronę przed częścią ataków klasy cold boot: Erase system encryption keys from memory during shutdown/reboot to help mitigate…
Czytaj dalej »
Podatność XML Bomb (aka Billion Laughs Attack) być może jest Wam znana. Taki prosty XML, powoduje powstanie w pamięci miliarda lolów: Ale może mniej osób zna odmianę tego problemu w YAML-u. W Kubernetesie (czy dokładniej oferowanym przez ten produkt API) zgłoszono właśnie podatność YAML Bomb: CVE-2019-11253 is a YAML parsing…
Czytaj dalej »
Chodzi o niby znaną od dłuższego czasu klasę Mass Assignment, która najwyraźniej przeżywa drugą młodość. Przesyłasz np. JSON-em dane nowego użytkownika do API, co jest mapowane na stosowny obiekt i zapisywane do bazy. Proste ale i niebezpieczne. Bo co się stanie, jeśli ktoś do JSON-a doda klucz „admin”: true ?. Będziemy…
Czytaj dalej »
Mowa o malware wykrytym przez zespół Kaspersky – na celowniku znajdują się kraje Wspólnoty Niepodległych Państw. Sposoby infekcji są dwa. Pierwszy z nich wykorzystuje pobieranie modułów Reductora przez znane złośliwe oprogramowanie COMpfun. Drugi wektor ataku wykorzystuje warezy, czyli serwisy, z których za darmo można pobrać płatne programy (nie jest to oczywiście…
Czytaj dalej »
Popatrzcie jak w USA wygląda postępowanie dotyczące wycieku danych. Mowa w tym przypadku o Yahoo. W pozwie zbiorowym (*) możliwości są takie: Dwa lata bezpłatnego monitoringu kredytowego Od $100 – $358 wypłaty do kieszeni jeśli już takowy posiadasz Do $25 000 (!) jeśli w związku z włamaniem ktoś wykradł Ci tożsamość:…
Czytaj dalej »
