W największym skrócie, można do dokumentu wstawić „zwykły” hiperlink i zdefiniować w zdarzeniu mouseover uruchomienie skryptu Python. W źródle pliku ODT (dokładniej w jednym z plików, który znajduje się w ODT) mamy wtedy tego typu kod Z racji, że interpreter Pythona jest instalowany razem z LibreOffice, autor badania przygotował dokument…
Czytaj dalej »
Czy widzieliście kiedyś na żywo podsłuch klawiatury bezprzewodowej? Tak, często da się to zrobić i to dla uznawanych na rynku producentów. Taki przykład pokażemy na żywo w ramach naszego mega sekurak hacking party: wstęp teoretyczny prezentacja sprzętu kosztującego około 120 PLN który umożliwia tego typu zabawy konkretna klawiatura znanego producenta…
Czytaj dalej »
SMS jako drugi czynnik uwierzytelniający transakcję w banku. To w zasadzie standard, który z kolejnymi latami okazuje się mniej odporny na ataki. Jednym z ataków jest tzw. SIM swap, inny – to wykorzystanie słabości protokołu SS7. Tego typu atak na sieć telekomunikacyjną potwierdzono właśnie w Wielkiej Brytanii. Celem był Metro Bank…
Czytaj dalej »
Można już przeszukiwać bazę pod względem wycieku kont w tzw. kolekcjach #2-#5 – jak na razie nie znajdziecie tej ogromnej bazy w zasobach haveibeenpwned. Może więc warto zamówić raport dla swojego adresu e-mail? Linkowana baza zawiera przeszło 8 miliardów kont z ponad 800 wycieków. –ms
Czytaj dalej »
To premiera sekurakowego 300ml kubka: Ma on 300 ml i w ceramiczny sposób wypalonego sekuraka :) (nie znamy dokładnie nazwy tej techniki) Jak go zdobyć? Pierwsze 20 osób, które napiszą na szkolenia@securitum.pl + krótkie info (min. 2 zdania ;) skąd dowiedzieli się o sekuraku -> dostaną kubek bezpłatnie – przesyłka…
Czytaj dalej »
Firefox stawia na prywatność, w wersji 65 mamy dostępnych kilka ciekawostek chroniących nas przed nieprzyjaznym wzrokiem twórców witryn webowych. Po pierwsze możemy ustawić tryb 'strict’ jeśli chodzi o podejście do blokowania rozmaitych trackerów (to przygotowanie przed planowanym włączeniem domyślnie mocno restrykcyjnych blokad, m.in. uniemożliwiających w założeniu śledzenie użytkownika podczas jego…
Czytaj dalej »
Facetime to wygodna funkcja dostępna domyślnie w urządzeniach Apple – od telefonów po laptopy. Umożliwia ona zarówno połączenia wideo jak i czyste audio (Facetime audio). Świetną rzeczą jest na pewno szyfrowanie takich rozmów w trybie end-end, a całość wymaga jedynie dostępu do Internetu (koszty rozmów w „dziwnych” krajach!). A teraz…
Czytaj dalej »
Sam swojego rodzaju market sprzedający usługi testów wydajnościowych (czytaj DDoS), został „zwinięty” przez odpowiednie służby w zeszłym roku: webstresser.org is believed to have been the world’s biggest marketplace to hire DDoS services, having helped launched over 4 million attacks for as little as € 15.00 a month. Teraz Europol idzie…
Czytaj dalej »
Co dopiero zostały ujawnione podatności umożliwiające wykonanie dowolnego kodu na routerach Cisco RV320/RV325, a już trwają ataki. Potwierdzone, podatne routery są również w Polsce. Atak jest dość prosty, wystarczy odwołać się do zasobu /cgi-bin/config.exp i otrzymujemy bez uwierzytelnienia dostęp do konfiguracji urządzenia (w tym hashe haseł użytkowników). Co ciekawe, wygląda na to,…
Czytaj dalej »
Temat brzmi jak science fiction: odpowiedni laser kierowany w kierunku ucha odbiorcy jest w stanie przekazać głos (bez żadnego, dodatkowego odbiornika). Do tego wymagana jest w powietrzu woda, ale w naszej atmosferze niemal wszędzie ją znajdziemy (wystarczą tylko śladowe ilości). Woda jest odparowywana laserem, co powoduje powstanie fal dźwiękowych. Wygląda…
Czytaj dalej »
Tego typu zaskakującą informację przynosi serwis Zdnet. Chodzi o sprawdzenie przez rząd (dokładniej – przez przedstawicieli National Institute of Information and Communications Technology (NICT)) domyślnych / słownikowych haseł na około 200 milionach urządzeń IoT w Japonii. Rząd obawia się problemów na przyszłorocznej olimpiadzie – stąd ten bezprecedensowy krok. Ochrona przez atak?…
Czytaj dalej »
Przykład takiego PDF-a tutaj. Autor znaleziska wskazuje, że po otworzeniu dokumentu nastąpi komunikacja protokołem SMB na serwer atakującego: % a PDF file using an XFA % most whitespace can be removed (truncated to 570 bytes or so…) % Ange Albertini BSD Licence 2012 %PDF-1. % can be truncated to %PDF-…
Czytaj dalej »
Informację podał projekt Distributed Denial of Secrets: Dark Side of the Kremlin (108 GB), hundreds of thousands of messages and files from Russian politicians, journalists, oligarchs, religious figures, and nationalists/terrorists in Ukraine. Serwisy hostujące pliki ledwo zipią (mimo, że część danych była publikowana już kilka lat temu), ponoć też jest zachowana…
Czytaj dalej »
W dużej mierze to po prostu nauka obsługi Linuksa z poziomu linii poleceń (tak trochę upraszczamy ;) Polecam wystartować zabawę od przeglądnięcia spisu treści; po kliknięciu na dany rozdział przechodzimy do szczegółów, gdzie znajdziemy trochę (nie za dużo, nie za mało) opisu słownego + czasem zrzuty ekranowe: Większość tematów jest…
Czytaj dalej »
Tak przynajmniej twierdzi prokuratura. Oskarżona pani: wyłudzała bankowe pożyczki tworząc fikcyjne tożsamości kredytobiorców. Nie są wspomniane tutaj konkretne banki (czy parabanki), ale można się domyślać że aby doszło do wypłaty, wystarczyła zgodność składniowa numeru PESEL (a generatorów tego typu ciągów jest masa). A wszystko to realizowane było z domowego zacisza:…
Czytaj dalej »