W biegu

Publikuję tego posta, bo platforma rozwal.to premium już działa poprawnie – tj. m.in. akceptuje płatności (karta/przelew/szybkie transfery typu mTransfer – obsługuje nas PayU). Zadowoleni powinni być też użytkownicy firmowi – system wystawia faktury VAT (i dla firm i dla osób prywatnych). Można już rejestrować konta, choć zaczniemy je stopniowo akceptować…

Tym razem spróbowaliśmy formuły ze startem we wcześniejszej godzinie (15:00) – i dla dużej liczby osób była to godzina optymalna. Pojawiło się ~450 osób, co przy założeniu że nie było darmowych wejść – jest całkiem niezłym wynikiem. Postawiliśmy też na więcej prezentacji, ale krótszych (opis wszystkich siedmiu macie tutaj). Sami…

12 lutego 2018 została udostępniona przez Ministerstwo Cyfryzacji długo oczekiwana aktualizacja Projektu Ustawy o Ochronie Danych Osobowych (datowana daniem 8 lutego 2018). Celem nadrzędnym zmian w Polskim porządku prawnym dotyczącym ochrony danych osobowych jest wprowadzenie Rozporządzenia o Ochronie Danych Osobowych (RODO) bazującego na Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679….

W skrócie – jedna z japońskich giełd kryptowalutowych posiadała błąd, umożliwiający kupienie bitcoinów za darmo. Mimo że problem istniał tylko 18 minut, ktoś spróbował go wykorzystać. Swoją drogą prawdopodobnie podatność usunięto właśnie dzięki osobie, która chciała wykorzystać owego „exploita życia”, czyli sprzedać za darmo nabyte bitcoiny…: As at least one…

Troy Hunt udostępnia do pobrania bazę przeszło 500 milionów unikalnych haseł, zebranych aż z przeszło 3 miliardów rekordów(!). Troy udostępnia zbiór głównie w celu jego zintegrowania go z funkcją ustawiania haseł w systemach / aplikacjach. Teraz łatwo będzie nie pozwolić użytkownikowi ustalić hasło, które kiedyś publicznie wyciekło. A żeby atakującym…

Być może część z Was została dzisiaj mocno zaniepokojona takim komunikatem: Wygląda to dość mocno Jedna ze standardowych bibliotek systemowych zakażona koparką kryptowalut?! Avast na szczęście potwierdził że jest to false positive i łata problem. Oczywiście „blokada” normalnej biblioteki systemowej to nie jest najlepsza rzecz która nas może spotkać, ale pytanie…

Podatności nie są jeszcze do końca załatane. Problemy sprowadzają się do dostępnych na localhost usług, startowanych przez uTorrent, które de facto dostępne są bez uwierzytelnienia. Tzn. pardon, niby są: http://127.0.0.1:19575/gui/index.html?localauth=localapic3cfe21229a80938: Widzicie ten localauth? … ale można go odzyskać (przez DNS rebinding, podobna historia była niedawno w grach Blizzarda) korzystając z nieuwierzytelnionego…

O fakcie donosi firma RedLock  – w tym przypadku udało się najpierw dostać do należącego do Tesli serwera Kubernetes (dostęp był bez hasła): Tam jak widzicie były dostępne klucze do instancji Amazon S3. Załoga z RedLock twierdzi, że były tam składowane dane telemetryczne (dotyczące samochodów). Sami przedstawiciele Tesli napisali z kolei, że S3…

Elementy hackowania GSM, podsłuch VoIP na żywo, proste generowanie dowolnej komunikacji sieciowej, łamiące programistów Javy demo złowrogiego wykorzystania The Spring Expression Language czy hackowanie kamer –  to tylko kilka wybranych tematów, które będziemy poruszać na naszych hacking party w Krakowie oraz w Poznaniu (zobacz szczegóły agend poniżej). Agendę + zapisy na Kraków zobacz tutaj (26.02.2018) –…

Lepiej zróbcie kopię zapasową swoich iPhoneów/iPadów – poprzez odczytanie na telefonie odpowiedniego ciągu znaków można doprowadzić a) do crashu konkretnej aplikacji – np. WhatsApp, Twitter oraz b) niekończącej się pętli rebootów urządzenia. Oto winowajca (podany w formie zrzutu graficznego – tak żeby nie uszkodzić Waszych telefonów): Całość działa na najnowszym…

RODO/GDPR to jeden z gorących tematów w 2018 roku. W skrócie, poniżej możecie oglądnąć ~30 minutową prezentację Maćka Pokornieckiego, który już kilka razy publikował na sekuraku: –ms

ICO (Information Commissioner’s Office – ico.org.uk) to brytyjski odpowiednik polskiego GIODO, a coś niepokojącego stało się z ich stroną 11 lutego (obecnie jest ona przełączona w tryb maintenance). W skrócie, okazało się że zaatakowano inną firmę (hxxps://www.texthelp.com/), z której to ICO załączało JavaScrypt. W skrypcie umieszczono koparkę kryptowaluty i od tej pory…

Trochę sensacyjny tytuł, ale popatrzcie tylko na ten film… pomieszanie nowoczesnej technologii (ułożone w rządki GPU) z tradycją (pozbijane z deszczółek stelaże) z domieszką chaosu – to palętające się kable i urządzenia niewiadomego przeznaczenia: Akcja likwidacji „tego miejsca” została zorganizowana przez Ukraińską cyberpolicję. Zarzutem jest tutaj wykorzystanie środków uniwersytetu (m.in. prądu)…

Właśnie załatano podatność, wykorzystującą prostą funkcję =WEBSERVICE() LibreOffice Calc supports a WEBSERVICE function to obtain data by URL. Vulnerable versions of LibreOffice allow WEBSERVICE to take a local file URL (e.g file://) which can be used to inject local files into the spreadsheet without warning the user. W pakiecie MS…

W Rosji każdy orze jak może – jedni ogrzewają koparkami kryptowalut mieszkania, inni próbują kopać bitcoiny na superkomputerze służącym do badań nad bronią jądrową – tak przynajmniej donosi BBC i inne media. Rosyjska agencja Interfax potwierdza incydent, choć nie podaje wielu szczegółów (niespodzianka). Cała operacja miała mieć miejsce w mieście…