W biegu

… najczęstsze problemy bezpieczeństwa występujące w aplikacjach mobilnych; do tego narzędzia umożliwiające zmiany aplikacji „w locie”,  dostęp do wrażliwych danych na telefonach i wiele, wiele więcej. Takie rzeczy prezentuje Michał Bentkowski na naszym szkoleniu warsztatowym z bezpieczeństwa aplikacji mobilnych. Szkolenie odbywa się pod koniec listopada w Warszawie, a podając hasło…

Większość z Was kojarzy zapewne ostatnią rozległą awarię w OVH – nie działało kompletnie bardzo dużo serwisów z Polski, nie działał Sekurak ani status.ovh.com. Problem na szczęście został rozwiązany w przeciągu paru godzin, a niedawno klienci OVH dostali maila z informacją o możliwym przyznaniu odszkodowania. Miło, prawda? Każdy też chciałby uzyskać…

USA robią pentesty z rozmachem – amerykański Homeland Security zakupił samolot Boeing 757, po czym wykonał na nim testy penetracyjne, które okazały się skuteczne: I didn’t have anybody touching the airplane, I didn’t have an insider threat. I stood off using typical stuff that could get through security and we…

Kiedyś mieliśmy silikonowe palce odblokowujące Touch ID, teraz mamy plastikowe maski (+silikonowy nos) odblokowujące Face ID, a przynajmniej tym się chwali jedna z firm zajmujących się bezpieczeństwem: Apple na razie nie skomentował całej sprawy. –ms  

Zastanawialiśmy się czy ją opisać – nie działa jeszcze do końca stabilnie – ale niech będzie. Niektórzy nazwali ją shodanem dla Tor-a. Może w tym trochę przesady, choć podobieństwa są – możliwość używania filtrów w wyszukiwaniu,  czy podstawowe informacje o zindeksowanym zasobie: Jak widać na Torze sprzedają nie tylko lizaki…

Jak wskazuje osoba która, dość dokładnie przeanalizowała urządzenie, cała zabawka – S8 data line locator – kosztuje 7 Euro (transport z Chin w cenie).   The device features a SIM card slot hidden in the USB plug and can be used to remotely query its location as well as listen in…

To w skrócie podatność AVGater. Istota problemu to:  #AVGater can be used to restore a previously quarantined file to any arbitrary filesystem location. Czyli będąc lokalnym, nieuprawnionym użytkownikiem, możemy wrzucić plik będący w kwarantannie do dowolnego katalogu (np. do C:/Windows). Dalej – można np. w ten sposób „podrzucić” własną bibliotekę…

W obecnych czasach dość ciężko znaleźć opracowanie dotyczące pisania shellcode-ów na nowoczesnych architekturach.  Ewentualnie mamy same gotowce. Tym razem dostępne jest dłuższe opracowanie – od prostego programu w C, aż po finalny shellcode, który daje zdalne wykonanie kodu w raptem 136 bajtach – a na pokładzie udało się również upchnąć…

Artykuły tematu numeru listopadowego wydania „Linux Magazine” poświęcone inteligentnym budynkom opisują Home Assistanta, który wprowadza otwarte standardy, oraz API we/wy Adafruit ułatwiające komunikację urządzeń Internetu rzeczy. Na dołączonym DVD znajduje się Ubuntu 17.10. Wewnątrz wydania również: Eclipse Mosquitto MQTT Server w UniCloud – czyli własna sieć Internet of Things w…

Podstawowa lista rzeczy, które warto sprawdzić. Od sprawdzenia stanu event loga, przez weryfikację zaplanowanych zdań, wybranych miejsc w rejestrze – aż po kwestie podejrzanych kont czy share-ów. Plusem jest pokazanie wyświetlenia niemal wszystkiego korzystając z linii poleceń (np. wykorzystanie opisywanego przez nas wmic-a), co ułatwia przygotowanie skryptu, który zbierze nam…

Fejkowa aplikacja do złudzenia przypominała oryginalną… swoją drogą widzicie, która z nich jest podstawiona? Producent się zgadza prawda? Tyle że w podstawionej wersji, na końcu WhatsApp Inc. mamy jeszcze unikodową spację. „Update WhatsApp Messanger” miał też świetne oceny: Aplikacja była na pewno ordynarnym adware – nie ma na razie potwierdzenia…

Ciekawostka z dalekiej Syberii – czyli małe (20 metrów kwadratowych) mieszkanie, z dwoma koparkami generującymi miesięcznie około $430. Ponoć prąd jest tam względnie tani (w okolicach elektrownia wodna),  a na zewnątrz zimno – po co więc wypuszczać ciepło w atmosferę? Projekt zawiera podłączenie koparek do standardowego ogrzewania wodnego, trochę więcej…

Co dopiero załatano podatność w Tor Browser (załatana wersja to Tor Browser 7.0.9 na Linuksa i OS X). Co więcej, wygląda na to że poznanie prawdziwego adresu IP użytkownika w podatnej wersji jest dość proste: Due to a Firefox bug in handling file:// URLs it is possible on both systems that users leak…

Exploita przeżywającego restart telefonu i dającego pełne wykonanie kodu przez WiFi zaprezentował na żywo Tencent Keen Security Lab. Wcześniej podobną rzecz zaprezentował Google, ale było to na starszej wersji systemu operacyjnego. Obecny exploit wykorzystuje w sumie cztery podatności i zadziałał na najnowszej wersji iOS 11.1 – wypuszczonej dosłownie godziny przed pokazem….

Nowego hashcata (4.0.0) ogłoszono tutaj. Największą zmianą jest możliwość łamania długich haseł  (aż do 256 znaków), również takich uzupełnionych o długie sole. Sama ta, pozornie drobna rzecz, zabrała kilka miesięcy pracy. Przyspieszono też działanie narzędzia (w szczególności jeśli chodzi o łamanie WPA/WPA2), usprawniono również działanie na komputerach Apple-a i załatano masę…