O temacie z iMessage pisaliśmy niedawno. Po tegorocznym BlackHacie USA mamy już filmik pokazujący na żywo przejmowanie iPhone: Dla bardziej dociekliwych jest też blackhatowa prezentacja (wraz np. z linkiem do narzędzi ułatwiających tego typu research). Warto podkreślić jeszcze raz że cały atak nie wymaga interakcji od strony ofiary (wystarczy jej…
Czytaj dalej »
Ostatnio okazało się, że duże korporacje posiadające znane rozwiązania do komunikacji głosowej (Microsoft – Skype, Apple – Siri ) – przekazują część nagrań swoich użytkowników do zewnętrznych firm. Kolejna afera wybuchła w Niemczech, gdzie okazało się, że polscy pracownicy słuchają nagrań zrealizowanych przez amazonową Alexę. Niby mieli pracować w specjalnie zabezpieczonych biurach,…
Czytaj dalej »
Czytaliście na sekuraku o nowej edycji zip bomby? Jednym z pierwszych celów mogą być antywirusy, które automatycznie rozpakowują archiwa zip. Konkrety? Bardzo proszę – jeszcze niezałatana podatność w ClamAV: I wanted to point out [1], someone has used some tricks to create some extremely compressed ZIP files. I tested this…
Czytaj dalej »
Zapowiadał się kolejny spokojny wieczór. Mały pokój w jednym z moskiewskich biur, z porozwalanymi pudełkami po pizzy i rozrzuconymi niemal wszędzie butelkami po wyśmienitym napoju Bajkał. – Te Wowa, widziałeś te nowe dumpy 0-dayów na IoT z chińskich forów? Centrala podrzuciła dzisiaj na to namiary. – No… widziałem. TP-Linki, routerki ASUS-a,…
Czytaj dalej »
W co można zainwestować niewiele jako kraj i wyciągnąć z tego miliardy? Tak, tak – to ofensywne zdolności cyber. Reuters donosi właśnie o hackerskich operacjach Korei Północnej, które przyniosły temu krajowi około 2 miliardów USD, zainwestowanych następnie prace nad bronią masowego rażenia. The experts said they are investigating “at least…
Czytaj dalej »
QualPwn to seria podatności umożliwiających dostęp na chip WiFi w telefonie oraz w pewnych przypadkach również na telefon (dostęp na poziomie Kernela Linux). Kto jest podatny? Właściciele urządzeń z wybranymi chipami Qualcomma, żeby nie było niedomówień – atakujący wskazują jako podatne flagowce Google Pixel 2 oraz 3. We didn’t test…
Czytaj dalej »
Jeśli ktoś uważa, że SQL injection ciężko jest znaleźć w obecnych czasach, myli się. W opisywanym przypadku zaczęło się od enumeracji ciekawych poddomen (mamy o tym osobny rozdział w naszej książce) – udało się znaleźć niezbyt skomplikowane miejsce z możliwością anonimowego uploadu pliku XML. Po niewyłączonych komunikatach błędów było jasne,…
Czytaj dalej »
Ransomware na Androida nie jest częstą sprawą, ale oto mamy nową kampanię rozpowszechniającą się poprzez SMSy oraz linki – często do stron czy appek o charakterze pornograficznym. (…) spreads further via SMS with malicious links, which are sent to all contacts in the victim’s contact list. After the ransomware sends out…
Czytaj dalej »
Dość intensywna kampania startująca od maili phishingowych, wyglądających jak normalne zgłoszenie chęci do pracy: ⚠️ Angreifer versenden aktuell gefälschte Bewerbungen im Namen von "Lena Kretschmer" zur Verbreitung der #Ransomware #GermanWiper. Nicht die Anhänge der Mail öffnen! ⚠️ pic.twitter.com/rpDBReqQYX — CERT-Bund (@certbund) August 2, 2019 W mailu mamy normalny plik .jpg:…
Czytaj dalej »
Ciekawe opracowanie, pokazujące (często domyślne) problemy z autoryzacją do zasobów w Jira. O co chodzi? Głównie o filtry wyszukujące konkretnych spraw – użytkownicy często tworzą te pierwsze i udostępniają 'każdemu’. W domyśle każdemu z własnej firmy; domysł jest tu jednak kiepski – często takie ustawienia umożliwiają na anonimowy dostęp do…
Czytaj dalej »
W zasadzie można by to zbyć jednym zdaniem – przecież satelity robią to samo. Jednak (piszę na logikę niż z doświadczenia :-) balon jest: a) o wiele tańszy b) łatwiejszy do uruchomienia i deaktywacji c) przy pewnych założeniach może omijać pewne uwarunkowania atmosferyczne d) dawać lepszą jakość (mniejsza odległość kamera…
Czytaj dalej »
Dostarczasz wrażliwy system ze znanymi ci istotnymi podatnościami. Powinieneś ponieść odpowiedzialność? Tak? Nie? Zazwyczaj nie, choć ta sprawa rzuca nieco odmienne światło na tego typu problemy: Cisco Systems agreed on Wednesday to pay $8.6 million to settle claims that it sold video surveillance technology that it knew had a significant…
Czytaj dalej »
Guardian donosi z zakończonym spotkaniu przedstawicieli Pięciorga Oczu. Spotkanie poświęcone było walce z terroryzmem i ochroną dzieci, ale wg doniesień głównym tematem były coraz bardziej efektywne metody szyfrowania komunikacji: Dealing with the challenge faced by increasingly effective encryption was one of the main topics at the summit. Odpowiednie argumenty, pomasowanie…
Czytaj dalej »
Ciekawostka wakacyjna, którą raportują użytkownicy Reddita – do kradzieży koparki, która posłużyła następnie do kradzieży bankomatu doszło w tym roku w Irlandii. Wygląda to na prace rozbiórkowo-budowlane? Tak, tylko zdecydowanie bez pozwolenia: –ms
Czytaj dalej »
Mapka dostępna jest tutaj. Mamy tu informacje dotyczące szczegółów danego incydentu (najczęściej link do informacji prasowych), jedną z trzech kategorii oraz ew. dane dotyczące płatności okupu (czy został zapłacony i jeśli tak to w jakiej kwocie): Same ataki ransomware na instytucje rządowe w USA wydają się przybierać na sile –…
Czytaj dalej »
