Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

W biegu

SegmentSmack – czyli slow DoS przez sieć na Linuksy

08 sierpnia 2018, 11:15 | W biegu | komentarze 4

Większość osób zakłada, że ciężko znaleźć większą podatność w tak popularnym komponencie jak obsługa stosu TCP/IP pod Linuksem. A tu niespodzianka. Podatność SegmentSmack, dotykająca jąder 4.9 w górę (2016 rok) umożliwia zabicie docelowej maszyny (wysycenie na ~100 % procesora) ruchem rzędu 2 tysiące pakietów na sekundę (więc atak jest relatywnie…

Czytaj dalej »

Nowy sposób ataku na WPA2 – nie jest potrzebne przechwytywanie hasha od klienta

05 sierpnia 2018, 10:46 | W biegu | komentarzy 9

Po wyjątkowo długim czasie oczekiwania, został udostępniony nowy hashcat. Wśród różnych usprawnień (m.in krakowanie applowego FileVault 2), mamy też nowy typ ataku na WPA(2), który został odkryty przy analizach sposobów ataków na WPA3. Chyba najciekawszą rzeczą jest brak konieczności przechwytywania jakichkolwiek pakietów uwierzytelniania się do sieci od klientów. Normalnie należało…

Czytaj dalej »

„usługa” przejęcia komuś numeru GSM / SMS-ów to ledwie $100…

03 sierpnia 2018, 20:43 | W biegu | komentarze 2

Jak małym kosztem można nielegalnie zarobić miliony? Przejmując czyjeś kody SMS autoryzujące operacje finansowe czy dające dostęp do stosownych kont. Technika SIM swap znana jest od pewnego czasu. Ale wg Motherboard przestępcy uderzyli w jeden z najbardziej wrażliwych punktów całego łańcucha – czyli pracowników firm telekomunikacyjnych mających dostęp do systemów…

Czytaj dalej »

Niezabezpieczone urządzenia przemysłowe, routery WiFI, kamery, … – film od Shodana

02 sierpnia 2018, 14:12 | W biegu | komentarze 4

To zdecydowanie lepsze niż oglądanie telewizji! :) No więc skoczcie po zimne napoje, przekąski i wpiszcie w URL: https://2000.shodan.io/ Możecie też podkręcić dzwięk, bo jest opcja włączenia nastrojowej muzyczki ;-) Zobaczycie tutaj serię zmieniających się, ciekawych shodanowych znalezisk. Czego tam nie ma… niezabezpieczone mongo, kamery, routery błagające w nagłówkach żeby je odhakować,…

Czytaj dalej »

Włamanie na serwery Reddita – 2FA nie pomogło – przechwycili SMS-y

01 sierpnia 2018, 23:52 | W biegu | komentarzy 12

Zerknijcie na rozgrzany do czerwoności wątek na Reddicie o włamaniu na Reddita. Atakujący otrzymali dostęp read-only do bazy danych (choć mocno ograniczony – wspomniana jest informacja o niektórych mailach), kodu źródłowego, logów oraz „pewnych plików” należących do pracowników Reddita. Potwierdzono też dostęp do starego, pełnego backupu bazy danych (z 2007…

Czytaj dalej »

W tym kraju można kupić obywatelstwo za 13 BTC

31 lipca 2018, 11:40 | W biegu | komentarze 4

Ciekawostka: Antigua i Barbuda – ten dynamicznie rozwijający się kraj, oferuje obywatelstwo w kwocie $100 000. To około 13 BTC, przy czym nie jest to tylko suchy przelicznik – można całość zapłacić w kryptowalutach. Głos przejmuje premier i minister finansów: So not only are we providing the capacity for payment in…

Czytaj dalej »

Zestaw świetnych książek – bezpieczeństwo IT już za $1

31 lipca 2018, 09:59 | W biegu | komentarze 2

To kolejna odsłona akcji Humble Bundle. Już za $1 możemy mieć cztery książki, w tym: „Reversing: Secrets of Reverse Engineering” czy „Shellcoder’s Handbook„. Kolejne kilka USD i mamy też m.in.”Practical Reverse Engineering: x86, x64, ARM, Windows Kernel, Reversing Tools, and Obfuscation„. A prawdziwe rarytasy mamy w ostatnim progu ($15) –…

Czytaj dalej »

Więźniowie zhackowali system płatności – nabili na rachunku równowartość niemal 1 000 000 PLN

30 lipca 2018, 12:14 | W biegu | 1 komentarz

JPay to system dostępny w amerykańskich więzieniach od około 2002 roku. Dzięki niemu osadzeni mogą kupować rozmaite usługi elektroniczne – od muzyki, przez gry aż do możliwości wysyłania elektronicznych wiadomości (zubożona wersja e-maila). Przykładowo za tą ostatnią usługę płaci się 47 centów od sztuki. Rodzina może też za pośrednictwem J-Pay…

Czytaj dalej »

Atak na singapurską służbę zdrowia – wykradziono dane osobowe około 1,5 miliona osób

21 lipca 2018, 13:10 | W biegu | komentarzy 6
Atak na singapurską służbę zdrowia – wykradziono dane osobowe około 1,5 miliona osób

Pieczołowicie budowana wysokiej klasy opieka medyczna, centralnie dostępne dane o pacjentach. A tu nagle atak skutkujący kradzieżą danych osobowych około 1,5 miliona ludzi. Czy zostały wykradzione dane medyczne? Z jednej strony jest informacja tylko o danych osobowych, ale również czytamy: information on the outpatient dispensed medicines of about 160,000 of…

Czytaj dalej »

cybercrypt@gov – polska policja rozpisuje przetarg na narzędzie do łamania zabezpieczeń kryptograficznych. A my mamy do niego dokumentację ;-)

20 lipca 2018, 18:32 | W biegu | komentarzy 5

Informacje o projekcie mamy tutaj, gdzie czytamy m.in.: Przewiduje się, że projektowany system powinien pozwalać na przełamywanie haseł opartych m.in. o MD4, MD5, SHA1, SHA-224, SHA-256, SHA384, SHA-512, SHA-3 (Keccak), NetNTLMv1, NetNTLMv1+ESS, NetNTLMv2, sha256crypt, sha512crypt a także próbę przełamania zabezpieczeń programów m.in, office 2007,2010,2013, PDF, KeePass, 7-zip, Rar oraz powszechnie stosowanych…

Czytaj dalej »