Wspieramy medialnie tegoroczny Security BSides Warsaw. Zatem kilka informacji bezpośrednio od organizatorów. Scena polskich konferencji poświęconych bezpieczeństwu informatycznemu ostatnimi czasy tętni życiem. Jak grzyby po deszczu wyrastają nowe, zasilane przez korporacyjne pieniądze wydarzenia, które są nastawione głównie na prezentowanie produktu czy networking wysoko postawionych prezesów i managerów. Mało która konferencja dziś…
Czytaj dalej »
Kalifornijska tablica rejestracyjna NULL miała uczynić go niewidzialnym, a może być tylko ciekawą, geekową personalizacją? W każdym razie badacz o pseudonimie Droogie najpierw dostał normalny mandat za niepoprawne parkowanie (zdarza się). Co odpaliło całą lawinę, której chyba nikt się nie spodziewał: The next sign was, well, a little more serious: After…
Czytaj dalej »
Sypnęło właśnie dużymi podatnościami na system Windows. Tymczasem część antywirusów blokuje oficjalne aktualizacje. Powodem jest sierpniowe przejście Microsoftu na podpis łat z wykorzystaniem algorytmu SHA-2 (zamiast starego SHA-1). Nota bene – oczywiście same algorytmy z rodziny SHA nie służą do podpisu cyfrowego, ale są w nim wykorzystywane. W każdym razie…
Czytaj dalej »
Podatności w Remote Desktop Services Microsoft opisuje tutaj: CVE-2019-1181, CVE-2019-1182, CVE-2019-1222, CVE-2019-1226. Nie owijając zbytnio w bawełnę: W RDP jest podatność klasy RCE, którą można wykorzystać bez uwierzytelnienia przez przesłanie odpowiednio złośliwej komunikacji. Podatność nie wymaga interakcji ofiary, a atakujący może wykonywać dowolne polecenia na docelowym systemie, łącznie z tworzeniem kont z…
Czytaj dalej »
Hasła są wprawdzie w czasochłonnym do łamania Bcrypcie, ale o wiele ciekawsze mogą być prywatne wiadomości wymieniane pomiędzy użytkownikami. W przeszło 2-gigabajtowym zrzucie jest prawie 400 000 tego typu wiadomości. Arstechnica wskazuje dość wysoką aktywność członków wyciekłego forum w temacie chęci dostępu do przejętych kont Fortnite: Freshly cracked Fortnite accounts with skins…
Czytaj dalej »
Jeśli macie jakieś 5 minut wolnego czasu polecam oglądnąć krótki film poniżej. Pozyskanie numeru telefonu do działu Project Managerów konkretnego produktu, nauka project managerki narzędzi tar oraz gz (jakoś trzeba było spakować te kody źródłowe). Na koniec krok od wpadki…ale nie będziemy spoilerować: –ms
Czytaj dalej »
W Skierniewicach pojawiają się w obiegu tzw. banknoty prezentowe zwane również upominkowymi: Jeden z fałszywych banknotów ujawniony został w banku podczas wpłacania pieniędzy przez klienta, drugi wręczono zapracowanej ekspedientce, która nie zauważyła, że otrzymała fałszywy banknot, trzeci również przyjęła ekspedientka, którą poproszono o rozmianę 200 złotych. Tego typu banknot wygląda…
Czytaj dalej »
Kolejna ciekawostka związana z ukrytymi kamerami. Ten dość nietypowy przypadek miał miejsce w tym roku w USA. Z instalacją coś poszło nie tak (może wściekłe turbulencje?) (…) a United flight from California to Texas, a female first-class passenger noticed an item with a blue blinking light in the first-class lavatory,…
Czytaj dalej »
Wakacyjne ciekawostki. Kamera w gniazdku do prądu: … tu w wersji „rozbebeszonej” Kamerka w routerze: Klasyka – czyli kamera w czujniku dymu (lub podobnym) – ta rodzina po podłączeniu się po WiFI przeskanowała sieć i namierzyła urządzenie nagrywające właśnie tam: Kamera w żarówce (!): Kamera w czujce alarmowej:…
Czytaj dalej »
Ciekawe badanie Checkpointa. Badacze wykryli kilka podatności klasy buffer overflow w Canonowej implementacji protokołu Picture Transfer Protocol. Protokół ten może być używany zarówno przy połączeniu USB (kamera komputer; małe ryzyko), ale również w przypadku połączenia aparatu do WiFi. Jeśli zatem atakujący w jakiś sposób nakłoni ofiarę do podłączenia się do jego…
Czytaj dalej »
San Diego – inaczej zwane przez niektórych „najmądrzejszym miastem Ameryki„. To m.in. za sprawą wdrożonego około 2 lat temu programu paru tysięcy lamp ulicznych, które oszczędzają energię a także w razie potrzebny zapewniają odczyt nagranego video (z dźwiękiem) dla odpowiednich służb. Początkowo nieco eksperymentalny i klasyczny projekt ostatnio za sprawą…
Czytaj dalej »
Po niemal 1.5 roku wydana została nowa wersja nmapa. Największe usprawnienie to kompletnie przepisany windowsowy sterownik do wysyłania, odbierania pakietów (poprzedni był dość stary i nierozwijany co powodowało np. spore problemy na Windows 10). Co więcej w tej wersji? Trochę nowych skryptów NSE i masa poprawek oraz usprawnień. Osoby zainteresowane nmap-em…
Czytaj dalej »
Od poniedziałku (29.07.2019) obserwuję wśród moich znajomych na Facebooku posty, które można streścić “Nie klikajcie linków do Blika, to wirus”. W tym przypadku przyczyną nie jest złośliwe oprogramowanie. To znany przynajmniej od stycznia phishing na “dopłatę BLIK”. Schemat ataku niezależnie od fałszywego adresu zawsze jest podobny. Zobaczmy, jak wygląda w…
Czytaj dalej »
Ciekawa historia podatności w kliencie Steam. Można dzięki niej mając uprawnienia zwykłego użytkownika, eskalować je do administratora (dokładniej LOCALSYSTEM). Badacz zgłosił problem do Valve w ramach programu bug bounty, ale problem został odrzucony z adnotacją: „not applicable„, jednocześnie Valve nie chciało aby opublikować szczegóły problemu. Badacz się tym nie przejął…
Czytaj dalej »
Dwie placówki zlokalizowane są: w Kanadzie oraz USA, a ich wnętrze wygląda mniej więcej tak: Całość pobiera moc około 300 megawatów, czyli tyle ile generuje cała mała elektrownia w Polsce. Używane są one na wewnętrzne potrzeby firmy BlockStream, ale są też do wynajęcia: The facilities account for a combined 300 megawatts…
Czytaj dalej »
