W biegu

Smutna historia bociana Kajtka. Najpierw polscy miłośnicy przyrody zamontowali na bocianie nadajnik, aby móc śledzić jego trasy przelotu: Jednak w kwietniu tego roku okazało się, że sygnał z nadajnika nagle się urwał. Może awaria? Nie, okazało się, że ktoś w Sudanie wyciągnął z urządzenia kartę SIM i wydzwonił z niej…

Wczoraj zakończyliśmy nasz CTF na konferencji Confidence – który zresztą był jedną z kilku atrakcji które dla Was przygotowaliśmy w trakcie tego wydarzenia. Głównie nastawialiśmy się na transfer wiedzy – a prezentacja Artura Czyża o wysyłce SMSa i jego podmianie (kolejnym SMSem) była tak oblegana, że musieliśmy ją zorganizować po…

Opis podatności i przygotowania exploita. Jak wiemy antywirusy pracują z pełnymi uprawnieniami w systemie, więc podatności właśnie w nich mogą być wyjątkowo bolesne. Tak właśnie mieliśmy z antywirusowymi produktami F-Secure, gdzie przygotowanie odpowiednio złośliwego pliku RAR wykonywało kod na komputerze ofiary. Autor znaleziska zaprezentował ciekawe demo – okazuje się, że…

Chodzi o serwis MyHeritage. Umożliwia on m.in. przesłanie próbki DNA, którą to procedurę reklamuje się m.in. tak: Uncover your ethnic origins and find new relatives with our simple DNA test. Sam test kosztuje jedyne $59. Wyciekły dane (adresy e-mail + hashe haseł) wszystkich (92,283,889) użytkowników zarejestrowanych do października 2017 roku:…

Dość entuzjastycznie został przyjęty „Project Fusion” – wspólny cel, nad którym pracuje Mozilla i ludzie od Tora. Co ciekawe i tak Firefox czerpie w pewnym zakresie z funkcji oferowanych przez Tor Browser. Droga więc jest taka: Firefox ESR + praca ludzi od Tora (odpowiednie patche) = Tor Browser; i dalej…

Kilka dość wymownych cytatów sprzed chwili: Visa’s payment network has crashed across the UK and Europe, sparking chaos as transactions are failing or being denied. More than 10 (transactions) have failed. One lady had to call her bank and was quite upset, but most people have a MasterCard as well or…

Jako patron medialny zapraszamy Was na dwa ciekawe wydarzenia: https://techrisk.pl/ (Wrocław) oraz https://cybergov.pl/  (Warszawa). Czy są to wydarzenia dla Was? Aby odpowiedzieć na to pytanie polecam zerknąć na listę prelegentów tutaj i tutaj. Szczególnie warto pospieszyć się z zapisami na CyberGov (to już 7 czerwca). Organizatorzy o całym wydarzeniu piszą tak: Konferencja CyberGOV…

Dla pewności – mamy do rozdania 1 (jedno) bezpłatne miejsce na krakowskiej konferencji Confidence. Jak je zdobyć? Prześlijcie ciekawe Wasze zdjęcie w koszulce sekuraka na sekurak@sekurak.pl – my wybierzemy zwycięzcę (do ~południa w piątek 1.06). Jako nagrody pocieszenia mamy pięć piętnastodniowych dostępów do rozwal.to Do zobaczenia na miejscu :-) –ms

Pierwsza informacja pojawiła się tutaj i tutaj. W największym skrócie – można przygotować tak repozytorium, że po wykonaniu git clone, wykona się u nas złośliwy kod (zawarty przez atakującego w samym repozytorium): The solution to this problem is quite simple and effective: submodule’s folder names are now examined more closely by Git…

send.firefox.com – działa w „każdej nowoczesnej przeglądarce” i nie wymaga pluginów. Mamy możliwość uploadu pliku do jednorazowej wielkości do 1 GB, plik przed wysłaniem jest szyfrowany (można podać swoje hasło) i dostajemy linka do downloadu, który jest ważny do: Pierwszego (drugiego, trzeciego, czwartego, piątego – maksymalnie można ustawić dwudziestego) pobrania lub…

A to wszystko na tegorocznym stoisku Sekuraka na Confidence (z kodem MP_sekurak20 macie 20% zniżki). W sumie będziemy mieć aż 9 prezentacji (dwie na głównej ścieżce, pięć w community corner i dwie na specjalnym edukacyjnym evencie dla licealistów.  Jak widzicie – zarażamy bezpieczeństwem wszystkich ;-). Na pewno rezerwujcie czas na prezentację Michała…

Tym razem mamy kolejną edycję małego koszmaru z frameworkiem electronjs, wykorzystywanym do budowy aplikacji desktopowych (ze znanych appek – mamy tu Skype czy desktopowy klient Slacka). Jak działa Electron? W skrócie to paczka HTML-a / JavaScriptu z dołożonym Chromium + nodejs w backendzie: Electron based applications are basically bunch of…

Zestaw dostępny do pobrania jest tutaj. Część starsza, część nowsza. Testowanie bezpieczeństwa WiFi, PKI, przeglądy bezpieczeństwa infrastruktury, zabezpieczanie domowego komputera, przegląd po popularnych technologiach VPN-owych, … W każdym razie dobry materiał na uporządkowanie, uzupełnienie swojej wiedzy :) –ms

W ostatni piątek mieliśmy pierwsze hacking party w Warszawie, około 300 osób, świetna atmosfera i miejmy nadzieję poruszające prezentacje ;) Wyglądało to mniej więcej tak: Opowiadaliśmy trochę o bezpieczeństwie API, pokazywaliśmy hackowanie kamery, wprowadzaliśmy w tajniki XSS na przykładach prostych i bardziej złożonych :-) Jeśli ktoś był – dajcie znać…

Na wielu modelach Draytek-a można uzyskać bez uwierzytelnienia dostęp administracyjny. Producent dopiero pracuje nad nowym firmware łatającym problem, a podatność jest aktywnie wykorzystywana (zmiana serwera DNS na złośliwy i w ten sposób atak na użytkowników korzystających z routera). Prawdopodobnie atak wykorzystuje lukę w panelu webowym (producent jako chwilowe rozwiązanie problemu…