Właśnie wyszła wersja 5.1 znanego łamacza/odzyskiwacza (niepotrzebne skreślić) haseł. W aktualizacji mamy wsparcie m.in dla nowych algorytmów – Apple File System, czy coś dla fanów Kerberosa (Kerberos 5 AS-REP). Jednak najwięcej wydarzyło się w temacie Veracrypt. Tutaj autor dodał wsparcie dla kilku nowych algorytmów dodając: We’re now VeraCrypt feature complete. Czy…
Czytaj dalej »
Kubernetes generalnie uznawany jest za rozwiązanie bezpieczne (więcej o samym rozwiązaniu, dostępnych komponentach – tutaj). Rzeczywiście, historycznie nie było tutaj jakiejś ogromnej liczby bugów. A tymczasem użytkownicy mogą przejąć kontrolę nad całym systemem: An API call to any aggregated API server endpoint can be escalated to perform any API request against that…
Czytaj dalej »
Edge w wielu kręgach użytkowników nie cieszy się zbytnim powodzeniem (wśród czytelników Sekuraka używa go mniej niż 2% czytelników). Z tego powodu tym bardziej nie dziwią doniesienia o przygotowaniu przez Microsoft nowej przeglądarki, bazującej na Chromium! Nie ma wprawdzie oficjalnego potwierdzenia, ale serwis Windows Central pisze tak: Codenamed Anaheim, this…
Czytaj dalej »
Ostatnio jest dość gorąco w temacie wycieków danych. Niedawno sieć Marriott (ukradziono dane 500 milionów osób), teraz mamy duży wyciek z popularnego serwisu Quora. Sami poszkodowani piszą tak: On Friday we discovered that some user data was compromised by a third party who gained unauthorized access to one of our systems….
Czytaj dalej »
Na różnych naszych konferencyjnych stoiskach udostępnialiśmy wydrukowane kolorowanki (wraz z czarnymi kredkami sekuraka). Tematyka jest stricte cyberawarenessowa. Materiały udostępniamy w PDF, do dowolnego wykorzystania komercyjnego lub niekomercyjnego. Ważne żeby materiały wykorzystywać bez nanoszenia żadnych zmian. Jeśli temat się Wam podoba – dorobimy więcej scenariuszy :-) kolorowanka-bankomat kolorowanka-malware kolorowanka-dowod-osobisty Fragment jednej…
Czytaj dalej »
Mowa o projekcie: Mobile Security Testing Guide (MSTG). Właśnie wydano jego wersję 1.1 (dostępna wersja pdf + na czytniki mobilne). Znajdziemy tutaj m.in. takie elementy jak: składowanie danych na urządzeniach, rozmaite problemy kryptograficzne, testowanie uwierzytelnienia, reverse engineering aplikacji, narzędzia. Wszystko dla platform: Android oraz iOS. Całość to około 450 stron. Miłego…
Czytaj dalej »
Można pewnie marudzić. że serwis nie ma wielu znanych wycieków. Z drugiej strony możemy całkiem dużą bazę (4,5 miliarda rekordów) ładnie posortować czy przeszukać. Np. tak jak poniżej (w bazie mamy przeszło 800 wycieków polskich baz): Część z nich jest mikroskopijna – np. krolikarzpolski (trzymający hasła w plaintext) ma ledwo…
Czytaj dalej »
29 listopada zorganizowaliśmy po raz drugi Sekurak Hacking Party w Warszawie w budynku Polsko-Japońskiej Akademii Technik Komputerowych. Zapisało się ok. 250 osób i sala była wypełniona niemal w 100%. Poprowadziłem na tym SHP trzy prezentacje, do których linkuję poniżej: Wykonywanie kodu (RCE) po stronie serwera na siedem sposobów, Dlaczego należy…
Czytaj dalej »
Nasz serwis rozwal.to jest zbiorem zadań do hackowania o różnym poziomie trudności. Mamy teorię, filmy (dla przykładu: film o podatności XXE) i właśnie – same zadania. Jeśli ktoś nie wie jak rozwiązać dany temat, może skorzystać z podpowiedzi czy odpowiedzi. Daje on bezpłatny dostęp na 7 dni (można go wykorzystać do 12 grudnia;…
Czytaj dalej »
Ciekawa (choć mająca już parę lat) praca, pokazująca kilka problemów z bezpieczeństwem zarówno jeśli chodzi o karty NVIDIA jak i AMD. O co dokładniej chodzi? Normalnie jeśli system operacyjny przydziela nam pamięć, jest ona czyszczona. Inaczej dostawalibyśmy 'losowe’ (ale mogące zawierać istotne elementy) fragmenty pamięci należące do innych użytkowników / procesów….
Czytaj dalej »
Dokładniej chodzi o temat UPnP. Mechanizm ten służy do łatwej, nie wymagającej żadnych uprawnień rekonfiguracji ustawień sieciowych na routerach (głównie tych domowych). Komunikacja UPnP zazwyczaj ma trzy fazy: Rekonesans dość nietypowym requestem HTTP over UDP (tzw. SSDP) Pobranie pliku XML z routera z informacjami o możliwości konfiguracji UPnP na danym…
Czytaj dalej »
Zerknijcie na ten wpis (translator) (alternatywne źródło). W skrócie – anonimowość w necie to duży problem: That people can be anonymous on the internet is a big problem. Policja proponuje więc użycie czegoś w rodzaju cyfrowego dowodu osobistego (digital ID): (…) police therefore propose a so-called state-guaranteed digital ID, which will…
Czytaj dalej »
Wyciekły dane z centralnego systemu rezerwacji sieci hotelowej Marriott. Najpierw okazało się, że ktoś wysłał zaszyfrowane dane z sieci centralnego systemu rezerwacji Starwood. Poźniej Marriott-owi (czy raczej zatrudnionym przez niego specjalistom) udało się te dane odszyfrować: The company recently discovered that an unauthorized party had copied and encrypted information, and took…
Czytaj dalej »
Jak to w wielu startupach bywa – security ma najniższy priorytet. Braku bezpieczeństwa w końcu nie widać gołym okiem. No chyba, że przydarzy się wyciek. Taka sytuacja miała miejsce w przypadku aplikacji Urban Massage. Jak widać, można z tej usługi – będącej swego rodzaju Uberem dla fizjoterapeutów – skorzystać bez…
Czytaj dalej »
Ciekawą historię opisuje serwis glos24.pl. Według relacji portalu: w dwóch salonach Orange w Poznaniu (czyli ponad 400 km od Chrzanowa, gdzie nasz czytelnik mieszka i pracuje) oszust zawarł łącznie siedem umów na jego nazwisko. Tym samym wyłudził pięć nietanich telefonów (w tym Samsung Galaxy S9+, S9 i S8) oraz Internet mobilny…
Czytaj dalej »
