W biegu

… czy to bug czy ficzer? :) Ostatnio udało się załatać problem, który uniemożliwiał skasowanie konta na Facebooku użytkownikom którzy utworzyli „dużą liczbę postów”. Podatność ponoć została już załatana, przy okazji Facebook zwiększył też dany sobie czas potrzebny do ostatecznego usunięcia konta – z 14 do 30 dni. –ms

Zarzuty stawiane przez Bloomberga są piorunujące – chiński mikrochip instalowany w płytach głównych, w procesie ich produkcji. W infekcji brał udział największy dostawca serwerowych płyt głównych na świecie (Supermicro): Na celowniku był Amazon, Apple, … w sumie około 30 amerykańskich firm. Co umożliwiał chip? Wg Bloomberga w zasadzie wszystko: During…

„Wyciągnięcie” hasła do telefonu od podejrzanego bywa problematyczne. W końcu każdemu zdarza się „zapomnieć”. A tymczasem hasła mają już niedługo stać się przeżytkiem – np. iPhone X umożliwia odblokowanie telefonu twarzą (Face ID)… Jaki więc problem użyć twarzy podejrzanego żeby odblokować telefon? W zasadzie żaden i tak zrobiło FBI, odblokowując…

Ruszamy z nowym, sekurakowym szkoleniem – oczywiście w temacie bezpieczeństwa: wprowadzenie do bezpieczeństwa środowisk cloud. W największym skrócie mamy tutaj: masa case studies (czyli takie a takie problemy bezpieczeństwa były tutaj,  skutkowały tym, a można było się ich pozbyć w taki sposób) przegląd popularnych usług chmurowych (AWS, Google Cloud /…

Wczoraj pisaliśmy o hacku na Facebooka (aktywnie wykorzystywana przez napastników podatność, umożliwiająca przejmowanie kont). Pisało też o tym bardzo wiele światowych serwisów – m.in. Associated Press czy Guardian. Co w tym nietypowego? Ano to że, systemy bezpieczeństwa FB wykrywały ww. posty o temacie jako „spam”, a następnie je blokowały. No więc…

Już w najbliższy poniedziałek mamy aż 4 prezentacje na krakowskiej konferencji PLNOG: O 17:10 poprowadzę na głównej sali pokaz na żywo: kilka gotowych do użycia „z marszu” narzędzi / technik rekonesansu sieciowego. „Zawłaszczyliśmy” też Community Corner gdzie mamy 3 prezentacje: fenomenalny pokaz Artura Czyża o wysyłaniu SMSów a następnie podmianie…

Facebook poinformował o naruszeniu bezpieczeństwa, które skutkowało przejęciem kont użytkowników. Tym razem nie była to „potencjalna luka”, ale podatność przez którą atakujący rzeczywiście przejmowali konta: But it’s clear that attackers exploited a vulnerability in Facebook’s code that impacted “View As” (…) This allowed them to steal Facebook access tokens which they could then…

Jak wiemy IoT to jeden wielki backdoor ;) Władze Kalifornii postanowiły to nieco zmienić, a nowe prawo ma obowiązywać od stycznia 2020 roku. Czytamy tutaj: A manufacturer of a connected device shall equip the device with a reasonable security feature or features that are all of the following: (1) Appropriate…

Mamy już pierwsze benchmarki działania hashcata na nowej karcie od NVIDII.  Wyniki RTX 2080 są imponujące – przeszło 37 miliardów hashy MD5 na sekundę, czy 12 miliardów solonych SHA-1 na sekundę robi wrażenie. W porównaniu z poprzednią generacją kart (GTX 1080) wyniki są średnio o około 60% lepsze (co swoją…

Zaczyna się rzeczywiście bez żadnego „ściemniania”. Lekcja pierwsza: Concepts you may want to Google beforehand: assembler, BIOS Goal: Create a file which the BIOS interprets as a bootable disk This is very exciting, we’re going to create our own boot sector! Taki bardzo prosty boot sector wygląda tak: e9 fd…

O botnecie Mirai było głośno w 2016 roku. Jedne z największych ataków DDoS były prowadzone właśnie z wykorzystaniem tego narzędzia. Później Brian Krebs namierzył jednego z autorów. Finalnie osoby które stworzyły Mirai i go używały zostały skazane – każda na 2 500 godzin prac społecznych oraz karę $127,000 – na naprawę…

O problemie donosi Malwarebytes. Przejęcie kontroli nad serwisem odbywa się najprawdopodobniej poprzez podatności w niezaktualizowanych pluginach. Zainfekowana strona wyświetla użytkownikom niepokojące komunikaty o infekcji (tym razem lokalnego systemu) – a to wszystko żeby zmusić potencjalne ofiary do zainstalowania czegoś (czytaj: malware) na swoim komputerze. Malwarebytes donosi o większej intensywności w…

Co tu dużo pisać, wpisujecie w wyszukiwarkę, cel który Was interesuje – otrzymujecie listę dostępnych exploitów, a po kliknięciu w jeden z nich – szczegóły. Używajcie legalnie i odpowiedzialnie. –ms

W świecie IoT bez zmian, tym razem domowe urządzenie klasy NAS umożliwia na otrzymanie dostępu administracyjnego po… ustawieniu ciasteczka username=admin. Tak, to w zasadzie koniec opisu całego explota. Nieco więcej szczegółów można znaleźć tutaj (łącznie z historią zgłoszenia). Podatność została zgłoszona już w roku 2017, ale producent do tego czasu…

W skrócie nasza rekrutacja na pentestera cały czas trwa (zdążyliśmy już zatrudnić jedną osobę, potrzebujemy kolejne). TLDR, oferujemy: różnorodne projekty dla znanych marek w PL / poza PL bardzo dobre wynagrodzenie przez pierwszy rok pracy dostępny senior pentester jako coach (dla juniorów) – można pytać o wszystko :) atmosfera dzielenia się…