Alert został ogłoszony kilka dni temu. Tym razem problematyczne okazały się kardiosymulatory (en. pacemakers), czyli urządzenia wszczepiane do ciała pacjenta i stymulujące serce na rozmaite sposoby: Bardziej konkretnie, problem jest z urządzeniami umożliwiającymi aktualizację firmware urządzeń (programatorami) – niby pobieranie może być zrealizowane tylko przez VPN, ale programatory tego nie…
Czytaj dalej »
TLDR: appka mobilna umożliwiająca płatność NFC przechowywała liczbę kredytów w lokalnej bazie SQLite. Baza oczywiście była zaszyfrowana (:P), ale po krótkiej analizie okazało się że jest to numer IMEI telefonu. Po zdeszyfrowaniu była już pełna kontrola nad kontem: Firma tworząca system została poinformowana o problemie. A wnioski mamy tu cztery:…
Czytaj dalej »
Obecnie na hacking party Gliwice mamy zapisanych już przeszło 250 osób. Tutaj można znaleźć jeszcze trochę ostatnich biletów w super cenie < 20PLN. Impreza jest otwarta dla każdego chętnego – nie trzeba być super specem od security – prezentacje będą z jednej strony na dość podstawowym poziomie, a z drugiej…
Czytaj dalej »
Szukając możliwości użycia hashcata w cloud, napotkałem taki serwis. Jedni oferują swoje maszyny na wynajem, drudzy je wynajmują. Ceny bywają rzeczywiście niskie – $0,082 za godzinę systemu z bardzo mocną kartą NVIDIA GTX 1080, do tego 24-corowy Xeon i 128 GB RAM. Jeśli się nam nie spieszy (i dobrze rozumiem…
Czytaj dalej »
Jak wypada każdej niskopoziomowej książce – ilustracje mamy tu w formie nieco tekstowej: Można zobaczyć pełną „wizualizację” danego fragmentu komunikacji (np. Client Hello) oraz wersję z objaśnieniami konkretnych fragmentów / bajtów komunikacji. Czasem mamy też fragmenty do potwierdzenia w command line: –ms
Czytaj dalej »
A więc tak: jedni znajdują krytyczne podatności w Mikrotiku, inni je łatają. Kolejni infekują setki tysięcy tych routerów instalując tam koparki kryptowalut. Są również śmiałkowie z niewiadomojakiejstronymocy – którzy przestawiają firewalle na podatnych mikrotikach – tak żeby nie mogły być przejęte przez malware. Jedni są wkurzeni takim cichym łataniem, drudzy…
Czytaj dalej »
Osobiście cały czas mamy mieszane zdanie o chińskich mikro backdoorach umieszczanych w serwerowych płytach głównych. W każdym razie, tym razem chodzi o implant do karty sieciowej na jednym z serwerów firmy telekomunikacyjnej w USA. W nowym artykule jest już wskazana konkretna osoba, która przesłała dowody – Yossi Appleboum: The security expert,…
Czytaj dalej »
Zawsze zadziwiali mnie ludzie, którzy wierzą że „procedurą można uczynić świat bezpieczniejszy”. Masz przygotowaną politykę bezpieczeństwa… a – to na pewno dobrze chronisz dane osobowe :) Dokumentacja jest oczywiście potrzebna, ale naszym zdaniem corem zabezpieczeń w przypadku systemów IT powinna być dobrze zarządzana technologia. No właśnie, wracając do technologii –…
Czytaj dalej »
Tutaj można zobaczyć świeże opracowanie, pokazujące m.in. częściowe wyniki z testów bezpieczeństwa rozmaitych systemów obronnych, realizowanych w DOD (Department of Defence USA). USA planują obecnie wydać około 1,6 biliona (en. trillion) dolarów na pakiet nowoczesnej broni i byłoby nieco głupio gdyby takie 'zabawki’ udało się przejąć za pomocą nieśmiertelnej pary:…
Czytaj dalej »
W skrócie, niezabezpieczone API Google+ umożliwiało nieautoryzowany dostęp do danych użytkowników: imię, e-mail, zawód, płeć, wiek. Podatny użytkownik najpierw musiał dać dostęp do swoich publicznych danych profilu dowolnej, zewnętrznej aplikacji G+ (niegroźne, prawda?). Ale dostęp był dawany również do pól prywatnych oraz do pól prywatnych przyjaciół: When a user gave…
Czytaj dalej »
Obszerne wyjaśnienie zarzutów można znaleźć tutaj: Today we are indicting seven GRU officers for multiple felonies each, including the use of hacking to spread the personal information of hundreds of anti-doping officials and athletes as part of an effort to distract from Russia’s state-sponsored doping program. Techniki były różne –…
Czytaj dalej »
… czy to bug czy ficzer? :) Ostatnio udało się załatać problem, który uniemożliwiał skasowanie konta na Facebooku użytkownikom którzy utworzyli „dużą liczbę postów”. Podatność ponoć została już załatana, przy okazji Facebook zwiększył też dany sobie czas potrzebny do ostatecznego usunięcia konta – z 14 do 30 dni. –ms
Czytaj dalej »
Zarzuty stawiane przez Bloomberga są piorunujące – chiński mikrochip instalowany w płytach głównych, w procesie ich produkcji. W infekcji brał udział największy dostawca serwerowych płyt głównych na świecie (Supermicro): Na celowniku był Amazon, Apple, … w sumie około 30 amerykańskich firm. Co umożliwiał chip? Wg Bloomberga w zasadzie wszystko: During…
Czytaj dalej »
„Wyciągnięcie” hasła do telefonu od podejrzanego bywa problematyczne. W końcu każdemu zdarza się „zapomnieć”. A tymczasem hasła mają już niedługo stać się przeżytkiem – np. iPhone X umożliwia odblokowanie telefonu twarzą (Face ID)… Jaki więc problem użyć twarzy podejrzanego żeby odblokować telefon? W zasadzie żaden i tak zrobiło FBI, odblokowując…
Czytaj dalej »
Ruszamy z nowym, sekurakowym szkoleniem – oczywiście w temacie bezpieczeństwa: wprowadzenie do bezpieczeństwa środowisk cloud. W największym skrócie mamy tutaj: masa case studies (czyli takie a takie problemy bezpieczeństwa były tutaj, skutkowały tym, a można było się ich pozbyć w taki sposób) przegląd popularnych usług chmurowych (AWS, Google Cloud /…
Czytaj dalej »
