W biegu

A w nim dla każdego coś miłego. Jedną z największych zmian wydaje się być dodanie w standardzie modułu evasion omijającego antywirusy. Więcej o temacie tutaj, w tym prosty przykład pokazujący zmniejszenie skuteczności wykrywania (19/64 antywirusy -> 4/64 antywirusy): Z innych ciekawostek – jeśli ktoś nie lubi Ruby, to exploity do…

To niby zwykły XSS w kliencie chata Steam (samo rozwiązanie można zobaczyć tutaj). Czyli można wykonać JavaScript w przeglądarce ofiary. Ale czy na pewno tylko JavaScript? Wskazany wyżej błąd (krytyczność 9.3/10 w skali CVSS) umożliwiał uruchomienie absolutnie dowolnej binarki z komputera ofiary, a to wszystko po przesłaniu takiego niewinnego linka za…

A to wszystko za sprawą „niewinnej” analityki. Przecież właściciele aplikacji chcą wiedzieć kto, gdzie klika („tapie”). Taka sytuacja miała (ma?) miejsce w aplikacji mobilnej Air Canada (największego kanadyjskiego przewoźnika lotniczego). Analiza została wykonana przy okazji włamania do zasobów przewoźnika, o której byli informowani właśnie użytkownicy aplikacji mobilnej. Niby aplikacja „broni…

Brian Krebs opisuje nowy scam na użytkowników iPhone – realizowane są zautomatyzowane połączenia, z numerem źródłowym GSM ustawionym na prawidłowy numer od Apple (tzw. spoofing numeru dzwoniącego – da się to zrobić bez żadnego problemu). Problem w tym, że nawet iPhone-y nie potrafią rozróżnić realnego połączenia, od tego który ma…

To „dzieło” grupy 3ve (czyt. eve). Przechwycenie ruchu 1 500 000 adresów IP na przestrzeni roku – to nie może być dzieło zwykłego, nudzącego się studenta: used BGP attacks to hijack more than 1.5 million IP addresses over a 12-month span beginning in April 2017 Delikatne przygotowanie artyleryjskie ;) rozpoczęło…

Ciekawa podatność w hackerone zgłoszona za pomocą serwisu hackerone :P We wspomnianym serwisie, jeśli ktoś znalazł i zgłosił podatność, to poza standardową wypłatą może otrzymać również dodatkowe pieniądze za wykonanie retestu (tj. za sprawdzenie czy podatność została poprawnie załatana). W przypadku jednego requestu HTTP obsługującego proces, możliwe było jego ponowne…

Zestaw podawanych danych różni się w zależności od źródła, które raportuje wyciek (zapewne trwa jeszcze analiza). Dane zostały opublikowane na Twitterze w formie kalendarza adwentowego. Z wykradzionych danych wskazywane są: wewnętrzne dokumenty partyjne numery kart kredytowych kopie dokumentów ID (dowody osobiste?) numery telefonów prywatne wiadomości i listy Wśród dotkniętych co…

Ciekawa prezentacja, pokazująca jak zupełnie bez interakcji użytkownika (nie musi się on np. podłączyć do odpowiednio spreparowanej sieci) wykonać dowolny kod na komponencie WiFi (nie ma tam żadnej standardowej ochrony przed podatnościami typu buffer overflow – niespodzianka!), a później przeniknąć do głównego systemu, na którym działa urządzenie. Autor wykonał badania…

Ostatnio pisaliśmy o rozbudowanej pracy łamiącej bardzo wiele popularnych mechanizmów CAPTCHA. Niedawno z kolei opublikowano badanie dotyczące reCAPTCHA. Pomysł na całość jest dość prosty – pobierzmy plik audio oferowany przez Google, uploadujmy go do serwisu (np. należącego do Google) rozpoznającego mowę – i wpiszmy rozwiązanie. uncaptcha2 działa wg autorów na…

Na razie udostępniono 10gigabajtową próbkę dokumentów. Chodzi o dwie ogromne firmy ubezpieczeniowe Hiscox Syndicates Ltd oraz Lloyds of London: Hiscox Syndicates Ltd and Lloyds of London are some of the biggest insurers on the planet insuring everything from the smallest policies to some of the largest policies on the planet, and…

W 2018 roku nasi rodacy zdominowali podium. Pierwsze miejsce zdobyła ekipa Dragon Sector, trzecie – p4. Warto też dodać, że w rankingu sklasyfikowanych zostało przeszło 18 000 ekip. Polacy pozostawili w tyle wiele renomowanych ekip pochodzących m.in. z Rosji, Niemiec, Francji, Stanów Zjednoczonych, Japonii, Tajwanu, Chin czy Korei Południowej.  Z kolei…

Ankietę umieściliśmy na naszym facebookowym profilu, zagłosowało około 3200 osób. Wynik jest dość jednoznaczny: Tutaj warto dodać, że mamy dość świadom specyficznych czytelników. Może podobna ankieta w serwisie dla prawników dałaby odwrotny wynik? Zobaczmy na kilka ciekawych komentarzy. 1. Nieco może podkoloryzowane, ale coś w tym jest: Zmniejszyło. Wyłudzenie kredytu…

Na pytanie można odpowiedzieć prosto – przeglądnijcie zestawienie poniżej. W przeciągu ostatnich lat nie mamy tutaj zbyt dużo zmian – słabe hasła (lub takie zahardcodowane, o których nawet nie wiemy), masa kiepsko skonfigurowanych usług, czy jak zwykle kiepsko rozwiązane kwestie aktualizacji: Jak też widać OWASP zajmuje się nie tylko bezpieczeństwem aplikacji…

Poszukiwania ogłosiła policja z Gdańska, a info publikuje radio Eska: Włamała się na konto bankowe i ukradła kilkaset złotych. Policjanci poszukują kobiety, która mogła mieć związek ze sprawą. Wizerunek podejrzanej publikujemy w naszym artykule. O co dokładniej chodzi? W tekście mamy raczej dość skąpe informacje: Sprawca włamania dokonał wielu transakcji…

Omijanie biometryki bazującej na skanie palca – to było (nawet parę razy). Były też sztuczne głowy. Teraz czas na omijanie uwierzytelnienia bazującego na układzie naczyń krwionośnych. Na warsztat zostały wzięte dwa systemy, mające wg badaczy 95% udziału na rynku. Jako konkretny przykład użycia wskazywane są m.in bankomaty w Polsce. Zresztą badacze…