Wniosek patentowy Facebooka, zdradza właśnie tego typu mechanizm. Sygnałem do startu nagrywania ma być dźwięk emitowany np. z telewizji, jednak poza progiem słyszalności przez człowieka: The secret sound could be a very high-pitched voice, Facebook wrote, pitched just above the limit of human hearing. Po co taka funkcja? Aby dać…
Czytaj dalej »
Zobaczcie hardenize.com – w kilka(naście) sekund otrzymacie raport dotyczący dowolnej domeny, choć informacje mamy tylko w obszarach: DNS, mail (np. brak szyfrowania, problemy z SPF) oraz WWW (problemy z certyfikatami SSL, nagłówkami http, …). Przykład: Nie jest to oczywiście pełny skan bezpieczeństwa Waszej infrastruktury, ale jeśli szybko / tanio można…
Czytaj dalej »
W największym skrócie chodzi o około 2 TB danych zawierających ok 340 milionów rekordów. Bazę udało się znaleźć w publicznie dostępnej (bez uwierzytelnienia) instancji Elasticsearcha. Samą instancję z kolei wskazał Shodan. W bazie mamy około 230 milionów rekordów o osobach (dla pocieszenia – z USA), zawierających dość istotne dane osobowe:…
Czytaj dalej »
Chodzi o usprawnienie procesu komunikacji z urzędem skarbowym – w pewnym momencie użytkownicy dzwoniący na infolinię otrzymywali prośbę o podanie próbki głosu, tak aby móc się nim później identyfikować: For some calls we are introducing a quicker and more secure way for you to identify yourself. You can skip these…
Czytaj dalej »
Garść informacji o chińskim programie dronów przypominających ptaki (kryptonim Dove). Song Bifeng – główny mózg projektu, pracował wcześniej jako starszy naukowiec przy projekcie „niewidzialnego” myśliwca J-20, a obecny temat idzie również nieźle – właśnie za swój wkład w „Dove” został uhonorowany przez mundurowych z Chińskiej Armii Ludowo-Wyzwoleńczej. Zalet mamy dużo: „ptak” normalnie…
Czytaj dalej »
WPA3 zaprezentowany był już jakiś czas temu, niektórzy przedstawili wręcz gotowe rozwiązania dla telefonów czy urządzeń IoT, a teraz przyszedł czas na finalne ogłoszenie tego standardu. Nie zmieni się podział na sieci „personal” i „enterprise”, choć wprowadzono w nich sporo istotnych z punktu bezpieczeństwa zmian. Najważniejsze – dostępne w WPA3-Personal…
Czytaj dalej »
A wszystko w wyniku współpracy Mozilli z Troyem Huntem. O podobnych funkcjach pisaliśmy niedawno w kontekście 1Password, z którym twórca havaibeenopwned.com cały czas rozwija współpracę. Wracając do Firefoksa, jest mowa o „narzędziu” które nazywa się Firefox Monitor, ale dokładniejsze poczytanie materiałów od Mozilli, wskazuje, że najprawdopodobniej będzie to po prostu wbudowana…
Czytaj dalej »
Co dopiero pisaliśmy o możliwości łatwego łamania PIN-ów na urządzeniach Apple, a wczoraj zaprezentowano coś, czego nie widzieliśmy dawno: exploit na domyślną przeglądarkę Safari i połączenie go z pełnym jailbreakiem. Warto dodać, że całość działa na najnowszym iOS 11, ale również na najnowszej becie tego systemu (iOS 12). Z jednej strony to…
Czytaj dalej »
Normalnie po parokrotnym podaniu nieprawidłowego PIN-u, urządzenia Apple blokują się na pewien czas, a jeśli przesadzimy z ilością prób – zawartość iPhone jest trwale kasowana. Istnieją drogie urządzenia, które potrafią odblokować telefon, ale udało się znaleźć na to nieoczekiwanie proste obejście: Apple IOS <= 12 Erase Data bypass, tested heavily…
Czytaj dalej »
Pełne szczegóły zostaną przedstawione na Blackhacie: We present TLBleed, a novel side-channel attack that leaks information out of Translation Lookaside Buffers (TLBs). TLBleed shows a reliable side channel without relying on the CPU data or instruction caches. This therefore bypasses several proposed CPU cache side-channel protections. Our TLBleed exploit successfully…
Czytaj dalej »
O ciekawym przypadku nowej kampanii phishingowej Netflixa poinformował ostatnio SANS (https://isc.sans.edu/diary/23786). Napastnicy rozsyłają maile z ostrzeżeniem mające zmanipulować ofiarę do kliknięcia przycisku który przekieruje ofiarę na fałszywą stronę (Rys nr 1). Ta część ataku nie była przygotowana najlepiej, rozesłane maile nie były podobne do oryginalnych wiadomości rozsyłanych przez Netflixa do…
Czytaj dalej »
Badacze przeanalizowali przeszło 20 000 aplikacji mobilnych, które korzystają z googlowego rozwiązania Firebase. W skrócie – to baza danych w cloudzie, umożliwiająca łatwe użycie w m.in. w aplikacjach mobilnych. Problem w tym, że domyślnie baza dostępna jest bez uwierzytelnienia: Firebase is one of the most popular backend database technologies for…
Czytaj dalej »
W skrócie pisaliśmy o temacie niedawno. Dzisiaj odbyło się głosowanie w komisji prawnej EU: Artykuł 13 (filtrowanie linków) został przegłosowany stosunkiem głosów 15:10. „Podatek” od linków (Artykuł 11) – podobnie. Tym razem stosunkiem głosów 13:12. W oficjalnym komunikacie jest mowa o zakceptowaniu „nowych zasad Copyright-u” stosunkiem głosów 14 za, 9 przeciw,…
Czytaj dalej »
OpenBSD – znany ze ścisłego podejścia do obszaru bezpieczeństwa, postanawia wyłączyć obsługę intelowego mechanizmu HT: This can make cache timing attacks a lot easier and we strongly suspect that this will make several spectre-class bugs exploitable. Especially on Intel’s SMT implementation which is better known as Hypter-threading. We really should…
Czytaj dalej »
Często marketing zbiera „przypadkiem” z naszych komputerów tyle danych ile się tylko da, aż wybuchnie afera. Wtedy wszyscy wycofują się rakiem. Podobny scenariusz ma miejsce w przypadku narzędzia RedShell: Red shell is a Spyware that tracks data of your PC and shares it with 3rd parties. On their website they…
Czytaj dalej »
