Działa? Nie ruszać. Ilu z nas to słyszało? Podobną dewizą kierują się amerykańscy wojskowi, którzy do jeszcze bardzo niedawna używali dyskietek w systemie SACCS (Strategic Automated Command and Control System). Jest on m.in. odpowiedzialny za zmasowane odpalenie rakiet balistycznych z głowicami jądrowymi z terytorium USA – w odpowiedzi na stosowny…
Czytaj dalej »
O amerykańskim Equifax pisaliśmy jakiś czas temu. Wtedy włamano się z wykorzystaniem podatności w Apache Struts (użyto wtedy dość ciekawego XML-a, który był automatycznie deserializowany, dając RCE) i wykradziono wrażliwe dane około 143 milionów klientów. Niedawno doszło do ugody, gdzie firma zobowiązała się rozsądne wynagrodzić straty dotkniętym klientom (może to…
Czytaj dalej »
O temacie pisze Gazeta Wyborcza. Esencję macie tutaj: Przedsiębiorca z Łukowa w województwie lubelskim otrzymał mail z ponaglaniem do dokonania zaległej płatności, która miała dotyczyć jednego z serwisów aukcyjnych. Po tym jak mężczyzna dokonał zapłaty rzekomo zaległej sumy 1,36 zł, z jego kont zniknęło 340 tys. zł. Jak zostały wyciągnięte pieniądze?…
Czytaj dalej »
Opis tutaj – a całość to hacking w czystej postaci :) Najpierw fizyczne podpięcie się do odpowiedniego portu hulajnogi i zdumpowanie firmware. W firmware można było znaleźć taki ciekawy ciąg znaków „Set mode to Free Drive Mode”. Hmmm wystarczy włączyć ten tryb i po zabawie? Niekoniecznie. Nikt przecież nie będzie dłubał…
Czytaj dalej »
Podatność została właśnie zgłoszona i dotyczy sterownika w jądrze Linuksa dla chipów WiFI Realteka (drivers/net/wireless/realtek/rtlwifi/). Przesłanki teoretyczne mówią, że powinno się udać wykorzystać tego buga do otrzymania root shella przez WiFi, w najgorszym przypadku można wykonać atak klasy DoS: I’m still working on exploitation, and it will definitely… take some time…
Czytaj dalej »
Po raz pierwszy historia została opisana tutaj. Kobieta zeskanowała swój palec wbudowanym w ekran czytnikiem, ale później okazało się, że jej inny palec również otwiera telefon. I dalej… telefon otwiera także palec jej męża czy w zasadzie każdej osoby. BBC opisuje temat nieco bardziej dramatycznie…: Samsung: Anyone’s thumbprint can unlock…
Czytaj dalej »
8 terabajtów danych, przeszło 200 000 filmów z seksualnym wykorzystaniem dzieci – taką jaskinię zła zamknęły z hukiem połączone siły policyjne (swoją rolę odegrała tutaj również Polska). Niektórzy twierdzą nawet, że był to największy tego typu serwis w całym Internecie. W jaki sposób namierzono prawdziwy adres/adresy IP serwisu? Otóż były…
Czytaj dalej »
Historia zaczęła się od niewinnego maila uczestnika jednego z naszych szkoleń hej, mam tu taką fajną podatność – jest Node.js i Kibanę, może fajnie byłoby pokazać jak tu realnie wykonać dowolny kod na systemie operacyjnym? Michał Bentkowski stwierdził: challenge accepted, szczególnie że cała sprawa wiązała się z dość mało znaną…
Czytaj dalej »
„To dobry chłopak był i mało pił” czy jak relacjonuje Wyborcza a zajawia @prywatnik Maciej był bardzo pomocnym i zaangażowanym pracownikiem. Gdy trzeba było, zostawał po godzinach. Ufaliśmy mu. (…) Przechytrzył wszystkich. Co się wydarzyło? Akcja ma miejsce w Poznańskim Centrum Świadczeń, zajmującym się wypłatą różnego rodzaju pomocy (świadczenia rodzinne, świadczenia alimentacyjne, świadczenia dla…
Czytaj dalej »
Motherboard wskazuje na coraz częściej występujące infekcje bankomatów rozmaitymi odmianami malware realizującymi ataki klasy jackpotting (tj. opróżnienie wszystkich kasetek z pieniędzmi bez konieczności posiadania jakiejkolwiek karty płatniczej): Officials in Berlin said they had faced at least 36 jackpotting cases since spring 2018 Globally, our 2019 survey indicates that jackpotting attacks…
Czytaj dalej »
Temat opisuje dziennik.pl – a sprawa jest szyta aż tak grubymi nićmi że możemy zastanawiać się, czy ktoś się na to nabrał. No więc nabrał się. Strona https://agricoletrade[.]com/ cały czas działa, prezentując nieco ironiczne w kontekście całej sprawy hasło: „Tylko zdrowy rozsądek ma przyszłość.”. Na stronach też można wyczuć pewną dawkę…
Czytaj dalej »
O akcji dotyczącej undergroundowego sklepu BriansClub donosi Brian Krebs. Ktoś zhackował cały serwis i pobrał zawartość jego bazy danych. W samym tylko 2019 roku do sklepu dołożono 7.6 miliona skradzionych kart kredytowych. Z wszystkimi rekordami z lat poprzednich było to aż 26 milionów sztuk! Co dalej? All of the card data…
Czytaj dalej »
Cały, rozdział naszej książki o bezpieczeństwie aplikacji webowych dostępny jest tutaj: Podstawy protokołu HTTP (pdf). To jeden ze wstępnych rozdziałów przygotowujących czytelnika do analizy meandrów różnych podatności. Przeczytacie tutaj o zupełnych podstawach, ale jest też nieco smaczków dla bardziej zaawansowanych czytelników jak np. świeża tematyka HTTP request smuggling czy zupełnie…
Czytaj dalej »
Mamy naprawdę sporo różnych prezentacji technicznych (tematyka bezpieczeństwa aplikacji webowych / mobilnych / tematy sieciowe / IoT / rekonesans sieciowy). Tylko w tym roku na konferencji Confidence mieliśmy z 5 różnych prezentacji, do końca 2019r. będziemy jeszcze na: Secure, PWNing, Testdive, czy OWASP day. Na stałe jesteśmy w Krakowie i Warszawie…
Czytaj dalej »
Oficjalna narodowa chińska appka (przeszło 100 milionów instalacji) umożliwia tak fascynujące czynności jak czytanie i komentowanie „ciekawych artykułów” czy wykonywanie quizów o chińskim liderze Xi Jinping-u. Relaks relaksem, ale jak donosi BBC używanie appki jest też powiązane z wysokością otrzymywanej pensji, a dziennikarze muszą w niej zdać „test” aby otrzymać odpowiednie…
Czytaj dalej »
