Opis problemów z kłódką Taplock. W największym skrócie – mając MAC address interfejsu Bluetooth kłódki (rozgłaszany broadcastem) – można ją otworzyć. Bo właśnie „kluczem” który otwiera kłódkę jest adres MAC i wartości, które z niego zostały wyliczone: Yes. The only thing we need to unlock the lock is to know…
Czytaj dalej »
Ministerstwo Cyfryzacji oraz Centralny Ośrodek Informatyki informują o awarii / niedostępności wielu istotnych serwisów: http://Obywatel.gov.pl , http://Pz.gov.pl , http://Cepik.gov.pl , http://Epuap.gov.pl . Niedostępne są także systemy SRP, CEPiK oraz ePUAP Co ciekawe problem prawdopodobnie istniał już od piątku. Jeden z czytelników pisze do nas: gdy próbowałem wysłać zgłoszenie IOD, dopiero wieczorem udało się…
Czytaj dalej »
Ciekawy wpis pokazujący jedną z metod wyłudzania danych. Na drzwiach mieszkania przyczepiona jest kartka: Nie zastałem nikogo w mieszkaniu. Proszę o pilny kontakt! (tu numer telefonu) I dalej: Okazało się, że kartka to nic innego, jak kolejny sposób na tworzenie baz kontaktów i przeszukiwanie rynku nieruchomości. Dobre paniska, prawda? W końcu…
Czytaj dalej »
W telegraficznym skrócie: Ostrzeżenie o możliwości kradzieży środków przez API działające na porcie 8545 (niedomyślna konfiguracja; „This is not a bug, but a misuse of JSON-RPC.”) Pierwsze próby. Po paru miesiącach: Remember this old twitter we posted? Guess how much these guys have in their wallets? Check out this wallet address https://www.etherchain.org/account/0x957cd4ff9b3894fc78b5134a8dc72b032ffbc464#transactions……
Czytaj dalej »
Smutna historia bociana Kajtka. Najpierw polscy miłośnicy przyrody zamontowali na bocianie nadajnik, aby móc śledzić jego trasy przelotu: Jednak w kwietniu tego roku okazało się, że sygnał z nadajnika nagle się urwał. Może awaria? Nie, okazało się, że ktoś w Sudanie wyciągnął z urządzenia kartę SIM i wydzwonił z niej…
Czytaj dalej »
Wczoraj zakończyliśmy nasz CTF na konferencji Confidence – który zresztą był jedną z kilku atrakcji które dla Was przygotowaliśmy w trakcie tego wydarzenia. Głównie nastawialiśmy się na transfer wiedzy – a prezentacja Artura Czyża o wysyłce SMSa i jego podmianie (kolejnym SMSem) była tak oblegana, że musieliśmy ją zorganizować po…
Czytaj dalej »
Opis podatności i przygotowania exploita. Jak wiemy antywirusy pracują z pełnymi uprawnieniami w systemie, więc podatności właśnie w nich mogą być wyjątkowo bolesne. Tak właśnie mieliśmy z antywirusowymi produktami F-Secure, gdzie przygotowanie odpowiednio złośliwego pliku RAR wykonywało kod na komputerze ofiary. Autor znaleziska zaprezentował ciekawe demo – okazuje się, że…
Czytaj dalej »
Chodzi o serwis MyHeritage. Umożliwia on m.in. przesłanie próbki DNA, którą to procedurę reklamuje się m.in. tak: Uncover your ethnic origins and find new relatives with our simple DNA test. Sam test kosztuje jedyne $59. Wyciekły dane (adresy e-mail + hashe haseł) wszystkich (92,283,889) użytkowników zarejestrowanych do października 2017 roku:…
Czytaj dalej »
Dość entuzjastycznie został przyjęty „Project Fusion” – wspólny cel, nad którym pracuje Mozilla i ludzie od Tora. Co ciekawe i tak Firefox czerpie w pewnym zakresie z funkcji oferowanych przez Tor Browser. Droga więc jest taka: Firefox ESR + praca ludzi od Tora (odpowiednie patche) = Tor Browser; i dalej…
Czytaj dalej »
Kilka dość wymownych cytatów sprzed chwili: Visa’s payment network has crashed across the UK and Europe, sparking chaos as transactions are failing or being denied. More than 10 (transactions) have failed. One lady had to call her bank and was quite upset, but most people have a MasterCard as well or…
Czytaj dalej »
Jako patron medialny zapraszamy Was na dwa ciekawe wydarzenia: https://techrisk.pl/ (Wrocław) oraz https://cybergov.pl/ (Warszawa). Czy są to wydarzenia dla Was? Aby odpowiedzieć na to pytanie polecam zerknąć na listę prelegentów tutaj i tutaj. Szczególnie warto pospieszyć się z zapisami na CyberGov (to już 7 czerwca). Organizatorzy o całym wydarzeniu piszą tak: Konferencja CyberGOV…
Czytaj dalej »
Dla pewności – mamy do rozdania 1 (jedno) bezpłatne miejsce na krakowskiej konferencji Confidence. Jak je zdobyć? Prześlijcie ciekawe Wasze zdjęcie w koszulce sekuraka na sekurak@sekurak.pl – my wybierzemy zwycięzcę (do ~południa w piątek 1.06). Jako nagrody pocieszenia mamy pięć piętnastodniowych dostępów do rozwal.to Do zobaczenia na miejscu :-) –ms
Czytaj dalej »
Pierwsza informacja pojawiła się tutaj i tutaj. W największym skrócie – można przygotować tak repozytorium, że po wykonaniu git clone, wykona się u nas złośliwy kod (zawarty przez atakującego w samym repozytorium): The solution to this problem is quite simple and effective: submodule’s folder names are now examined more closely by Git…
Czytaj dalej »
send.firefox.com – działa w „każdej nowoczesnej przeglądarce” i nie wymaga pluginów. Mamy możliwość uploadu pliku do jednorazowej wielkości do 1 GB, plik przed wysłaniem jest szyfrowany (można podać swoje hasło) i dostajemy linka do downloadu, który jest ważny do: Pierwszego (drugiego, trzeciego, czwartego, piątego – maksymalnie można ustawić dwudziestego) pobrania lub…
Czytaj dalej »
A to wszystko na tegorocznym stoisku Sekuraka na Confidence (z kodem MP_sekurak20 macie 20% zniżki). W sumie będziemy mieć aż 9 prezentacji (dwie na głównej ścieżce, pięć w community corner i dwie na specjalnym edukacyjnym evencie dla licealistów. Jak widzicie – zarażamy bezpieczeństwem wszystkich ;-). Na pewno rezerwujcie czas na prezentację Michała…
Czytaj dalej »
