W biegu

Nie czekamy już dłużej i udostępniliśmy dla wszystkich rozwal.to premium. Na początek można się „pobawić” przez dwa dni zupełnie bezpłatnie (pierwszych 100 osób; kod rabatowy: rozwal-premiera-start kilka pierwszych osób dostanie dużą ilość dni na start). Mimo załatania około 150 błędów, pewnie jeszcze parę można wykryć – szczególnie, że na start…

Jesteśmy już po drugiej edycji Hacking Party w Poznaniu. Tutaj mieliśmy kilka – jak zwykle praktycznych – prezentacji. Sala, którą zapewnił nam Uniwersytet im. Adama Mickiewicza – była mocno zapełniona – przybyło około 300 osób! Tym razem – zgodnie z sugestiami zaczekaliśmy jedynie 5 minut na spóźnialskich, a po prezentacjach…

… a to wszystko już 28.02 w Poznaniu. Startujemy o 14:30 (można być o 14:00) – Wydział Prawa i Administracji UAM Poznań Al. Niepodległości 53, Poznań Auditorium Maximum. Pełna agenda i zapisy dostępne są tutaj. To nasze kolejne sekurak hacking party, które tym razem wspiera Uniwersytet im. Adama Mickiewicza w Poznaniu…

Publikuję tego posta, bo platforma rozwal.to premium już działa poprawnie – tj. m.in. akceptuje płatności (karta/przelew/szybkie transfery typu mTransfer – obsługuje nas PayU). Zadowoleni powinni być też użytkownicy firmowi – system wystawia faktury VAT (i dla firm i dla osób prywatnych). Można już rejestrować konta, choć zaczniemy je stopniowo akceptować…

Tym razem spróbowaliśmy formuły ze startem we wcześniejszej godzinie (15:00) – i dla dużej liczby osób była to godzina optymalna. Pojawiło się ~450 osób, co przy założeniu że nie było darmowych wejść – jest całkiem niezłym wynikiem. Postawiliśmy też na więcej prezentacji, ale krótszych (opis wszystkich siedmiu macie tutaj). Sami…

12 lutego 2018 została udostępniona przez Ministerstwo Cyfryzacji długo oczekiwana aktualizacja Projektu Ustawy o Ochronie Danych Osobowych (datowana daniem 8 lutego 2018). Celem nadrzędnym zmian w Polskim porządku prawnym dotyczącym ochrony danych osobowych jest wprowadzenie Rozporządzenia o Ochronie Danych Osobowych (RODO) bazującego na Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679….

W skrócie – jedna z japońskich giełd kryptowalutowych posiadała błąd, umożliwiający kupienie bitcoinów za darmo. Mimo że problem istniał tylko 18 minut, ktoś spróbował go wykorzystać. Swoją drogą prawdopodobnie podatność usunięto właśnie dzięki osobie, która chciała wykorzystać owego „exploita życia”, czyli sprzedać za darmo nabyte bitcoiny…: As at least one…

Troy Hunt udostępnia do pobrania bazę przeszło 500 milionów unikalnych haseł, zebranych aż z przeszło 3 miliardów rekordów(!). Troy udostępnia zbiór głównie w celu jego zintegrowania go z funkcją ustawiania haseł w systemach / aplikacjach. Teraz łatwo będzie nie pozwolić użytkownikowi ustalić hasło, które kiedyś publicznie wyciekło. A żeby atakującym…

Być może część z Was została dzisiaj mocno zaniepokojona takim komunikatem: Wygląda to dość mocno Jedna ze standardowych bibliotek systemowych zakażona koparką kryptowalut?! Avast na szczęście potwierdził że jest to false positive i łata problem. Oczywiście „blokada” normalnej biblioteki systemowej to nie jest najlepsza rzecz która nas może spotkać, ale pytanie…

Podatności nie są jeszcze do końca załatane. Problemy sprowadzają się do dostępnych na localhost usług, startowanych przez uTorrent, które de facto dostępne są bez uwierzytelnienia. Tzn. pardon, niby są: http://127.0.0.1:19575/gui/index.html?localauth=localapic3cfe21229a80938: Widzicie ten localauth? … ale można go odzyskać (przez DNS rebinding, podobna historia była niedawno w grach Blizzarda) korzystając z nieuwierzytelnionego…

O fakcie donosi firma RedLock  – w tym przypadku udało się najpierw dostać do należącego do Tesli serwera Kubernetes (dostęp był bez hasła): Tam jak widzicie były dostępne klucze do instancji Amazon S3. Załoga z RedLock twierdzi, że były tam składowane dane telemetryczne (dotyczące samochodów). Sami przedstawiciele Tesli napisali z kolei, że S3…

Elementy hackowania GSM, podsłuch VoIP na żywo, proste generowanie dowolnej komunikacji sieciowej, łamiące programistów Javy demo złowrogiego wykorzystania The Spring Expression Language czy hackowanie kamer –  to tylko kilka wybranych tematów, które będziemy poruszać na naszych hacking party w Krakowie oraz w Poznaniu (zobacz szczegóły agend poniżej). Agendę + zapisy na Kraków zobacz tutaj (26.02.2018) –…

Lepiej zróbcie kopię zapasową swoich iPhoneów/iPadów – poprzez odczytanie na telefonie odpowiedniego ciągu znaków można doprowadzić a) do crashu konkretnej aplikacji – np. WhatsApp, Twitter oraz b) niekończącej się pętli rebootów urządzenia. Oto winowajca (podany w formie zrzutu graficznego – tak żeby nie uszkodzić Waszych telefonów): Całość działa na najnowszym…

RODO/GDPR to jeden z gorących tematów w 2018 roku. W skrócie, poniżej możecie oglądnąć ~30 minutową prezentację Maćka Pokornieckiego, który już kilka razy publikował na sekuraku: –ms

ICO (Information Commissioner’s Office – ico.org.uk) to brytyjski odpowiednik polskiego GIODO, a coś niepokojącego stało się z ich stroną 11 lutego (obecnie jest ona przełączona w tryb maintenance). W skrócie, okazało się że zaatakowano inną firmę (hxxps://www.texthelp.com/), z której to ICO załączało JavaScrypt. W skrypcie umieszczono koparkę kryptowaluty i od tej pory…