W biegu

Właśnie wydano nową wersję Tomcata (w kilku liniach). Oficjalny opis potrafi postawić włosy na głowie: Important: Remote Code Execution on Windows CVE-2019-0232 Jeśli poczytamy dalej, dowiemy się że podatny jest moduł CGI (który jest domyślnie wyłączony). Konfiguracji Tomcat+CGI+Windows raczej nie będzie zbyt wiele, stąd ograniczona liczba ofiar… Jeśli z kolei…

Francuski oddział jednostki zajmującej się zwalczaniem terroryzmu w Internecie wysłał do serwisu archive.org nakaz zablokowania sporej liczby „contentu terrorystycznego”.  Mail wysłany był z domeny @europol.europa.eu, a czas na usunięcie linków dość liberalny (24h). Wg właśnie procesowanego prawa EU ma to być 1h i maksymalna kara aż 4% globalnego obrotu firmy. Problem…

Doczekaliśmy się kolejnej, już trzeciej, edycji konferencji x33fcon. I jak co roku w Gdyni na początku maja (6-7) zjadą się zespoły Red i Blue z całego świata. x33fcon to impreza międzynarodowa, w całości w języku angielskim, a my kolejny raz jesteśmy ich partnerami. Dla chętnych mamy kod zniżkowy (sekurak.Bohfu6nu), uprawniający…

Świat obiegła mrożąca krew w żyłach wiadomość: w próbce 1500 hoteli (z 54 krajów), około 67% „wycieka” m.in. dane osobowe do zewnętrznych domen: Symantec found that 67% of hotel websites are leaking guests’ booking and personal details Tekst mimo, że napisany momentami średnio (niezaszyfrowane linki („Unencrypted links”) to np. linki…

Na razie niewiele wiemy, poza tym że: 1) ambasada anulowała azyl 2) Julian został aresztowany w Londynie – jako podstawę wymieniono prośbę o ekstradycję do USA: Julian Assange has been further arrested in relation to an extradition warrant on behalf of the United States authorities. He remains in custody at…

WPA3 miało być super bezpieczne, a tymczasem przeżywa choroby wieku dziecięcego. Wśród kilku różnych, nowych ataków mamy dość sprawną metodę łamania hasła dostępowego: The resulting attacks are efficient and low cost. For example, to brute-force all 8-character lowercase passwords, we require less than 40 handshakes and 125$ worth of Amazon…

Projekt (i filmik) dostępny jest tutaj. Badacz najpierw wykonał zdjęcie (zwykłym telefonem) swojego odcisku palca z kieliszka do wina. Później obróbka w Photoshopie i druk na niedrogiej drukarce 3D. Potrzebne były w sumie trzy próby wydruku i po 15 minutach efekt końcowy okazał się sukcesem: –ms

Niedawno wydano wersję 7.1 CIS Controls. Sama nazwa niewiele mówi, ale jest to zbiór zaleceń / dobrych praktyk dotyczących bezpieczeństwa IT w firmach. Całość to raczej nie temat na jeden wieczór, ale z drugiej strony łatwo przytłoczyć małą, 10-osobową firmę natłokiem informacji czy elementami koniecznymi do zaimplementowania. CIS proponuje zatem…

Temat uruchamiamy hobbystycznie (choć w pracy pentestera czasem może przydać się komunikowanie radiowe z tzw. dziwnymi urządzeniami – czy np. otwieranie drzwi „zabezpieczonych” tragicznie niebezpieczną komunikacją radiową). TLDR: Wstępną, niezobowiązującą chęć uczestnictwa zgłoś na: szkolenia@securitum.pl Miejsce / czas szkolenia: maj, Kraków, 1 dzień. Forma szkolenia: wprowadzenie teoretyczne + warsztaty. Koszt:…

Sprawę (nieco chaotycznie) opisuje serwis infogliwice. Pokrzywdzona gliwiczanka, obecnie przebywająca poza granicą naszego kraju, kliknęła w swoim smartfonie w przesłaną jej przez kogoś, podszywającego się pod operatora telefonii komórkowej, „fakturę z zaległością” na kwotę 2,40 zł. W efekcie przestępcy przejęli kontrolę nad jej internetowym kontem bankowym i telefonem, skąd błyskawicznie…

O dość kontrowersyjnej sprawie pisaliśmy niedawno. Obecnie okazuje się, że podejrzana posiadała w sumie 9 nośników USB, 5 kart SIM, urządzenie wykrywające ukryte kamery, 5 telefonów i na czarną godzinę $8000 w gotówce. Przecież to całkiem normalny zestaw do kupienia w każdym sklepie z normalnymi zestawami dla chińskich szpi turystów…

Tym razem jest to akcja o kryptonimie #TERREG, czyli konieczność usuwania treści o charakterze terrorystycznym. Najnowszy, zatwierdzony (choć jeszcze nie finalnie) projekt zakłada konieczność usunięcia takiej treści w okresie do godziny od zgłoszenia (jeśli zgłoszenie tego typu jest realizowane po raz pierwszy – mamy 12h). Planowana kara dla firm to…

Wydawałoby się, że w tak popularnym narzędziu jak wget ciężko znaleźć dużą podatność. Tymczasem wypuszczono niedawno nową wersję wget-a, łatającą buffer overflow: Kusano Kazuhiko discovered a buffer overflow vulnerability in the handling of Internationalized Resource Identifiers (IRI) in wget, a network utility to retrieve files from the web, which could…

Bayer to jedna z największych firm farmaceutycznych na świecie (przeszło 100 000 pracowników, 40 miliardów euro przychodu rocznie). Malware umożliwiający zdalny dostęp znaleziono w sieci firmy na początku zeszłego roku, ale do niedawna trwała jego „cicha” analiza (zapewne w celu namierzenia atakujących i dokładniejszego przyjrzenia się „żywej” próbce). Firma zapewnia, że…

Aplikacja ma w domyśle chronić system i zawiera aż trzy silniki antywirusowe: Avast, AVL, Tencent. Problemem jest to, że przynajmniej dwa pierwsze silniki wykonują aktualizację korzystając z nieszyfrowanego HTTP. Jeśli teraz atakujący zaczai się np. w otwartej sieci WiFi, może spróbować podrzucić 'lewą’ aktualizację (odpowiednio przechwytując ruch i wysyłając swoją…