W biegu

Jak wiemy mechanizmy uploadu to jedno z najniebezpieczniejszych miejsc w aplikacjach. Czasem po prostu wystarczy wgrać webshella (dającego już dostęp na poziomie systemu operacyjnego), czasem trzeba się bardziej namęczyć – np. przygotowując odpowiedniego zip-a. Ten pierwszy wariant był cały czas możliwy w popularnym pluginie jQuery File Upload (podatny jest kod po…

Mamy tutaj w pigułce obecny model tworzenia aplikacji mobilnych. Szybko, tanio, niebezpiecznie. Choć zaraz, o bezpieczeństwie czy niebezpieczeństwie często nikt kompletnie nie myśli. No więc: dekompilacja aplikacji (androidowa .apk), łatwe zlokalizowane backendu (firebase), i zupełnie niezabezpieczony dostęp do tej właśnie bazy: Their database is accessible by everyone… Now, I’m able…

Podatność „wyceniona” na 9.8/10 w skali CVSS umożliwiała na ominięcie uwierzytelnienia w banalny sposób. Zamiast wysłać komunikat: SSH2_MSG_USERAUTH_REQUEST klient wysyłał SSH2_MSG_USERAUTH_SUCCESS i … po sprawie :) Dla pewności warto podkreślić, że nie jest to błąd w OpenSSH (to zupełnie dwa różne projekty).  Do czego więc służy biblioteka libssh? Do sprawnego umożliwienia naszemu…

Konferencja SECURE to wydarzenie, które ma swoje stałe miejsce w kalendarzu najważniejszych imprez związanych z tematyką bezpieczeństwa teleinformatycznego. Stanowi wyjątkową okazję, aby posłuchać czołowych ekspertów z dziedziny bezpieczeństwa z Polski i całego świata, pogłębić wiedzę o zagrożeniach i aktualnych trendach w bezpieczeństwie, a także wziąć udział w forum wymiany doświadczeń….

Alert został ogłoszony kilka dni temu. Tym razem problematyczne okazały się kardiosymulatory (en. pacemakers), czyli urządzenia wszczepiane do ciała pacjenta i stymulujące serce na rozmaite sposoby:   Bardziej konkretnie, problem jest z urządzeniami umożliwiającymi aktualizację firmware urządzeń (programatorami) – niby pobieranie może być zrealizowane tylko przez VPN, ale programatory tego nie…

TLDR: appka mobilna umożliwiająca płatność NFC przechowywała liczbę kredytów w lokalnej bazie SQLite. Baza oczywiście była zaszyfrowana (:P), ale po krótkiej analizie okazało się że jest to numer IMEI telefonu. Po zdeszyfrowaniu była już pełna kontrola nad kontem: Firma tworząca system została poinformowana o problemie. A wnioski mamy tu cztery:…

Obecnie na hacking party Gliwice mamy zapisanych już przeszło 250 osób. Tutaj można znaleźć jeszcze trochę ostatnich biletów w super cenie < 20PLN. Impreza jest otwarta dla każdego chętnego – nie trzeba być super specem od security – prezentacje będą z jednej strony na dość podstawowym poziomie, a z drugiej…

Szukając możliwości użycia hashcata w cloud, napotkałem taki serwis. Jedni oferują swoje maszyny na wynajem, drudzy je wynajmują. Ceny bywają rzeczywiście niskie – $0,082 za godzinę systemu z bardzo mocną kartą NVIDIA GTX 1080, do tego 24-corowy Xeon i 128 GB RAM. Jeśli się nam nie spieszy (i dobrze rozumiem…

Jak wypada każdej niskopoziomowej książce – ilustracje mamy tu w formie nieco tekstowej: Można zobaczyć pełną „wizualizację” danego fragmentu komunikacji (np. Client Hello) oraz wersję z objaśnieniami konkretnych fragmentów / bajtów komunikacji. Czasem mamy też fragmenty do potwierdzenia w command line: –ms

A więc tak: jedni znajdują krytyczne podatności w Mikrotiku, inni je łatają. Kolejni infekują setki tysięcy tych routerów instalując tam koparki kryptowalut. Są również śmiałkowie z niewiadomojakiejstronymocy – którzy przestawiają firewalle na podatnych mikrotikach – tak żeby nie mogły być przejęte przez malware. Jedni są wkurzeni takim cichym łataniem, drudzy…

Osobiście cały czas mamy mieszane zdanie o chińskich mikro backdoorach umieszczanych w serwerowych płytach głównych. W każdym razie, tym razem chodzi o implant do karty sieciowej na jednym z serwerów firmy telekomunikacyjnej w USA. W nowym artykule jest już wskazana konkretna osoba, która przesłała dowody – Yossi Appleboum: The security expert,…

Zawsze zadziwiali mnie ludzie, którzy wierzą że „procedurą można uczynić świat bezpieczniejszy”. Masz przygotowaną politykę bezpieczeństwa… a – to na pewno dobrze chronisz dane osobowe :) Dokumentacja jest oczywiście potrzebna, ale naszym zdaniem corem zabezpieczeń w przypadku systemów IT powinna być dobrze zarządzana technologia. No właśnie, wracając do technologii –…

Tutaj można zobaczyć świeże opracowanie, pokazujące m.in. częściowe wyniki z testów bezpieczeństwa rozmaitych systemów obronnych, realizowanych w DOD (Department of Defence USA). USA planują obecnie wydać około 1,6 biliona (en. trillion) dolarów na pakiet nowoczesnej broni i byłoby nieco głupio gdyby takie 'zabawki’ udało się przejąć za pomocą nieśmiertelnej pary:…

W skrócie, niezabezpieczone API Google+ umożliwiało nieautoryzowany dostęp do danych użytkowników: imię, e-mail, zawód, płeć, wiek. Podatny użytkownik najpierw musiał dać dostęp do swoich publicznych danych profilu dowolnej, zewnętrznej aplikacji G+ (niegroźne, prawda?). Ale dostęp był dawany również do pól prywatnych oraz do pól prywatnych przyjaciół: When a user gave…

Obszerne wyjaśnienie zarzutów można znaleźć tutaj: Today we are indicting seven GRU officers for multiple felonies each, including the use of hacking to spread the personal information of hundreds of anti-doping officials and athletes as part of an effort to distract from Russia’s state-sponsored doping program. Techniki były różne –…