-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

W biegu

Łamanie w krótkim czasie PIN-ów na iPhone. Wystarczy wysłać bardzo długi ciąg znaków…[update]

23 czerwca 2018, 09:03 | W biegu | komentarzy 11

Normalnie po parokrotnym podaniu nieprawidłowego PIN-u, urządzenia Apple blokują się na pewien czas, a jeśli przesadzimy z ilością prób – zawartość iPhone jest trwale kasowana. Istnieją drogie urządzenia, które potrafią odblokować telefon, ale udało się znaleźć na to nieoczekiwanie proste obejście: Apple IOS <= 12 Erase Data bypass, tested heavily…

Czytaj dalej »

TLBleed – kradną 256 bitowy klucz kryptograficzny w 17 sekund

22 czerwca 2018, 14:27 | W biegu | komentarzy 12

Pełne szczegóły zostaną przedstawione na Blackhacie: We present TLBleed, a novel side-channel attack that leaks information out of Translation Lookaside Buffers (TLBs). TLBleed shows a reliable side channel without relying on the CPU data or instruction caches. This therefore bypasses several proposed CPU cache side-channel protections. Our TLBleed exploit successfully…

Czytaj dalej »

Nowa kampania phishingowa na Netflixa – lądujemy na stronie z prawidłowym certyfikatem TLS

22 czerwca 2018, 14:15 | W biegu | 1 komentarz

O ciekawym przypadku nowej kampanii phishingowej Netflixa poinformował ostatnio SANS (https://isc.sans.edu/diary/23786). Napastnicy rozsyłają maile z ostrzeżeniem mające zmanipulować ofiarę do kliknięcia przycisku który przekieruje ofiarę na fałszywą stronę (Rys nr 1). Ta część ataku nie była przygotowana najlepiej, rozesłane maile nie były podobne do oryginalnych wiadomości rozsyłanych przez Netflixa do…

Czytaj dalej »

Hasła, karty kredytowe, informacje medyczne i masa innych danych w publicznych instancjach Firebase

21 czerwca 2018, 13:59 | W biegu | 0 komentarzy

Badacze przeanalizowali przeszło 20 000 aplikacji mobilnych, które korzystają z googlowego rozwiązania Firebase. W skrócie – to baza danych w cloudzie, umożliwiająca łatwe użycie w m.in. w aplikacjach mobilnych. Problem w tym, że domyślnie baza dostępna jest bez uwierzytelnienia: Firebase is one of the most popular backend database technologies for…

Czytaj dalej »

Komisja prawna EU głosuje na „podatki od linków” i „maszyny do cenzury”

20 czerwca 2018, 16:41 | W biegu | komentarze 3

W skrócie pisaliśmy o temacie niedawno. Dzisiaj odbyło się głosowanie w komisji prawnej EU: Artykuł 13 (filtrowanie linków) został przegłosowany stosunkiem głosów 15:10. „Podatek” od linków (Artykuł 11) – podobnie. Tym razem stosunkiem głosów 13:12. W oficjalnym komunikacie jest mowa o zakceptowaniu „nowych zasad Copyright-u” stosunkiem głosów 14 za, 9 przeciw,…

Czytaj dalej »

OpenBSD wyłącza obsługę intelowego Hyper-threading – obawa o kolejne ataki typu Meltdown Spectre

20 czerwca 2018, 10:29 | W biegu | komentarze 3

OpenBSD – znany ze ścisłego podejścia do obszaru bezpieczeństwa, postanawia wyłączyć obsługę intelowego mechanizmu HT: This can make cache timing attacks a lot easier and we strongly suspect that this will make several spectre-class bugs exploitable. Especially on Intel’s SMT implementation which is better known as Hypter-threading. We really should…

Czytaj dalej »

Moodle: 4 razy łatana podatność umożliwiała wrogim nauczycielom przejęcie całego systemu

18 czerwca 2018, 15:34 | W biegu | 0 komentarzy

Jeśli ktoś posiadał rolę nauczyciela w Moodle (lub przechwycił takie konto), mógł wykonać swój kod w systemie operacyjnym. Jeśli ktoś nie wie – Moodle to w pewnym uproszczeniu platforma do e-learningu, dostępna z otwartym źrodłem. O popularności rozwiązania niech świadczą te statystyki (130 000 000 użytkowników, …, 900 000 000 quizów)….

Czytaj dalej »

Wysyłanie szyfrowanych maili GPG – można fałszować podpisy! [SigSpoof: CVE-2018-12020]

15 czerwca 2018, 11:27 | W biegu | 0 komentarzy

GPG zapewne kojarzy się Wam z popularnym sposobem na szyfrowanie poczty – choć może być również używany w innych zastosowaniach (np. „zwykłe” szyfrowanie pliku). Właśnie ogłoszono podatność Sig Spoof, dotykającą GnuPG, ale też innych pakietów związanych m.in. z szyfrowaniem poczty: thunderbirdowy plugin Enigmail oraz GPGTools. O co chodzi w problemie? (który…

Czytaj dalej »

Wyciekły dane prawie 6 milionów osób – największy wyciek po wprowadzeniu RODO/GDPR

14 czerwca 2018, 19:07 | W biegu | komentarze 3

Chodzi o sieć sklepów z elektroniką należącą do firmy Dixons Carphone. Wyciekło prawie 6 milionów danych kart kredytowych – ale firma pociesza swoich klientów: tylko około 100 000 numerów można potencjalnie wykorzystać do fraudów (nie wyciekły numery CVV). Na dokładkę wyciekły dane osobowe około 1,2 miliona osób. Sprawie już przyglądają…

Czytaj dalej »

EU niebawem chce „odpodatkować” hiperlinki. Zhackował telewizory w ramach protestu

14 czerwca 2018, 16:12 | W biegu | komentarze 3

Interesujący przykład haktywisty, który właśnie na wielu telewizorach wyświetlił komunikat nawołujący do przekonania swoich przedstawicieli w Europarlamencie do głosowania na „nie” za nową ustawą dotyczącą praw autorskich. Technicznie, do akcji zostały użyte przejęte set-top boksy, do których podłączone są telewizory:   Problematyczne są dwa artykuły: 11 – zwany czasem jako „Link…

Czytaj dalej »

Inteligentna kłódka. AES / bezpieczeństwo klasy wojskowej… każdy może ją zdalnie otworzyć w 2 sekundy :P

13 czerwca 2018, 22:52 | W biegu | komentarze 3

Opis problemów z kłódką Taplock. W największym skrócie – mając MAC address interfejsu Bluetooth kłódki (rozgłaszany broadcastem) – można ją otworzyć. Bo właśnie „kluczem” który otwiera kłódkę jest adres MAC i wartości, które z niego zostały wyliczone: Yes. The only thing we need to unlock the lock is to know…

Czytaj dalej »

obywatel.gov.pl / profil zaufany / cepik / epuap – DOWN

12 czerwca 2018, 12:20 | W biegu | komentarze 3

Ministerstwo Cyfryzacji oraz Centralny Ośrodek Informatyki informują o awarii / niedostępności wielu istotnych serwisów: http://Obywatel.gov.pl , http://Pz.gov.pl , http://Cepik.gov.pl , http://Epuap.gov.pl . Niedostępne są także systemy SRP, CEPiK oraz ePUAP Co ciekawe problem prawdopodobnie istniał już od piątku. Jeden z czytelników pisze do nas: gdy próbowałem wysłać zgłoszenie IOD, dopiero wieczorem udało się…

Czytaj dalej »

Karteczki na drzwiach mieszkań – sprytny sposób na wyłudzanie danych

11 czerwca 2018, 21:34 | W biegu | komentarzy 6

Ciekawy wpis pokazujący jedną z metod wyłudzania danych. Na drzwiach mieszkania przyczepiona jest kartka: Nie zastałem nikogo w mieszkaniu. Proszę o pilny kontakt! (tu numer telefonu) I dalej: Okazało się, że kartka to nic innego, jak kolejny sposób na tworzenie baz kontaktów i przeszukiwanie rynku nieruchomości. Dobre paniska, prawda? W końcu…

Czytaj dalej »