Chyba największą zaletą pracy u nas jest duża różnorodność – możesz rzeczywiście uczestniczyć w projektach z tytułu, ale i w takich, o których jawnie nie możemy pisać. Jak to ktoś od nas napisał: ciężko przejść się większą ulicą w Polsce żeby nie dostrzec marki, dla której realizowaliśmy ofensywne testy bezpieczeństwa….
Czytaj dalej »
Tutaj stosowna informacja od Microsoftu – tak, to dobrze znany nam „zwykły” OpenSSH w wersji serwerowej. Niedawno czytaliśmy, że nowa wersja Edge ma bazować na Chromium, co wydawało się absolutnie nigdy nie możliwe. Wcześniej widzieliśmy Kali Linuksa w App Store Windows, może następnym krokiem będzie zaadoptowanie Linux Kernela? ;-) –ms
Czytaj dalej »
Ciekawostka. Najpierw zeskanował i wydrukował swoją głowę w 3D. Później włączył odblokowanie telefonów za pomocą rozpoznawania twarzy w sprzętach: LG G7 Linq, Samsung S9, Samsung Note 8, OnePlus 6 oraz iPhoneX. Wynik? For all four Android phones, the spoof face was able to open the phone, though with differing degrees of…
Czytaj dalej »
Wygląda na to, że podatność trzeba traktować jako 0-day. Logitech otrzymał informację o błędach w swoim oprogramowaniu (Logitech Option, umożliwiający m.in. przemapowanie klawiszy), ale w aktualizacji niewiele z tym zrobił. Istotą problemu jest usługa (websocket), która wstaje na localhost i startuje razem z systemem operacyjnym. Nie ma w niej w…
Czytaj dalej »
Wydawałoby się, że w tak standardowych usługach, u tak popularnego producenta oprogramowania jak Microsoft, krytyczne, zdalnie wykorzystywalne bez uwierzytelnienia podatności dające uprawnienia admina nie powinny się zdarzać (no dobra, to żart – jak widać zdarzają się). Popatrzcie na podatność w microsoftowym serwerze DNS. Błąd ze statusem Critical, nie pozostawia wiele…
Czytaj dalej »
Krótki research Checkpointa zakończył się zaraportowaniem 50 podatności w Adobe Readerze. Mamy dostępną łatę. W zasadzie tutaj news mógłby się zakończyć, ale powiem to bardziej dobitnie: Podatności dające potencjalnie możliwość wykonania kodu na komputerze ofiary (najprawdopodobniej po prostu po otworzeniu odpowiednio spreparowanego pliku pdf): CVE-2018-15998 CVE-2018-15987 CVE-2018-16004 CVE-2018-19720 CVE-2018-19715 CVE-2018-19713 CVE-2018-19708…
Czytaj dalej »
Raczej nikt nie chwali się wynikami analizy powłamaniowej, szczególnie gdy jest ona druzgocąca. Ale inaczej jest w przypadku Equifax. Przypomnijmy – w wyniku naruszeń bezpieczeństwa wyciekło niemal 150 milionów rekordów danych osobowych. Dodatkowo – około 200 000 numerów kart kredytowych. Obecnie mamy dostępny rządowy raport opisujący szczegóły incydentu. Polecam zerknąć przynajmniej…
Czytaj dalej »
Supreme to marka dla bogatych hips ludzi ceniących swoją unikalność. Docenił to Samsung, wspierając się samym szefostwem Supreme, które wystąpiło na chińskiej konferencji organizowanej przez koreańskiego giganta. Wiadomo – Apple to styl życia, a Samsung też nie chce być gorszy. Problem w tym, że nawiązali współpracę i zaprosili na scenę ludzi…
Czytaj dalej »
Ostatnio aresztowano w Kanadzie szefową finansów Huawei – MENG Wanzou, grozi jej ekstradycja do USA. Tymczasem nie trzeba było wiele czekać aby pokazał się scam o tej treści. W tłumaczeniu na angielski: Hello, I am MENG Wanzou. Currently, I have been detained by Canadian customs. I have limited use of my phone. Right…
Czytaj dalej »
Zakaz kupowania nowych maszyn ma obowiązywać już od przyszłego miesiąca. A całkowity zakaz od kwietnia 2020 roku. Powód? Ta metoda komunikacji została uznana przez brytyjskie Ministerstwo Zdrowia za niezbyt bezpieczną: The Department of Health said a change to more modern communication methods was needed to improve patient safety and cyber…
Czytaj dalej »
Niedawno pisaliśmy o podatności potencjalnie dającej dostęp do danych około 500000 użytkowników Google+. Teraz Google publikuje nową informację – naprawiony obecnie błąd potencjalnie dotykał aż 52,5 mln użytkowników i w swojej naturze podobny był do poprzedniego problemu. Zewnętrzne aplikacje, który prosiły i otrzymywały dostęp do profilu użytkownika przez API, miały…
Czytaj dalej »
Dla studentów kierunków dziennikarskich to zapewne normalka – jedno wydarzenie można opisać czy sfotografować na różne sposoby. Zobaczmy na pierwszy z brzegu twit (ćwierk:P) : „Paris Burns„: Czy te zdjęcia są fejkiem? A może mają one ilustrować fakt, że we Francji wszystko spoko, tylko ci żądni sensacji dziennikarze… Ale może…
Czytaj dalej »
Problem opisany jest w ramach ID: SECURITY-595: Code execution through crafted URLs (błąd jest krytyczny, w skali CVSS 9.8 / 10, nie wymaga uwierzytelnienia). W skrócie, można wołać prawdopodobnie niemal dowolne metody javowe, korzystając właśnie z odpowiedniej konstrukcji URL-a: (…) any public method whose name starts with get, and that has a String, int, long,…
Czytaj dalej »
Jeden z czytelników podesłał nam ciekawego linka. Standard 5G może być rzeczywiście pewną rewolucją. Szybkości transferu liczące w setkach megabitów na sekundę (pojawiają się nawet informacje o 1Gbit, w praktyce, nie w teorii ;), niskie opóźnienia: Lower latency could help 5G mobile networks enable things such as multiplayer mobile gaming, factory…
Czytaj dalej »
Wszystko to i wiele więcej w poradniku (zbiorze linków) Awesome Red Teaming. Znajdą tutaj inspirację początkujący, ale nie zabraknie też kilku ciekawostek dla zaawansowanych. Zarówno jeśli chodzi o prezentacje, teksty, książki, jak i sprzęt, czasem dość groźny: KeySweeper is a stealthy Arduino-based device, camouflaged as a functioning USB wall charger, that…
Czytaj dalej »