Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

W biegu

Za jeden prosty XML zgarnął $10 000

31 lipca 2017, 13:37 | W biegu | komentarze 4

Nagroda w wysokości $10 800 została przyznana niedawno w ramach bug bounty Twittera.  Jeden z serwerów, a dokładnie jedno z API, było podatne na opisywaną przez nas już dwukrotnie podatność XXE. XML wyglądał jak poniżej, a autor badania do oryginalnego XML-a dołożył tylko oznaczone linijki: POST /api/sxmp/1.0 HTTP/1.1 Host: sms-be-vip.twitter.com…

Czytaj dalej »

Książka o testach penetracyjnych za darmo

31 lipca 2017, 13:03 | W biegu | 0 komentarzy

Jeszcze tylko dzisiaj do pobrania ze strony wydawcy książka: „Advanced Penetration Testing for Highly-Secured Environments: The Ultimate Security Guide„. Wbrew tytułowi przyda się ona raczej początkującym pentesterom. Książka ma już parę lat, ale wiadomo: darowanemu koniowi… Dzięki dla Mariusza i Damiana za przesłanie linku. –ms

Czytaj dalej »

Namierzali sprzedawców narkotyków, korzystając ze sztuczki opisanej na sekuraku

29 lipca 2017, 14:54 | W biegu | 1 komentarz

Organom ścigania udało się ostatnio przejąć dwa bazary narkotykowe, działające w przyciemnionym Internecie, przy czym jeden z nich – Hansa Market – mimo przejęcia był pozostawiony przez miesiąc jako podpucha. Klienci nie wiedzieli, że coś jest nie tak… W między czasie policja umieściła do pobrania logi transakcji, które okresowo są ściągane i analizowane…

Czytaj dalej »

Zhackowali Teslę Model X – sterowanie hamulcami, światłami, otwieranie drzwi

28 lipca 2017, 22:53 | W biegu | komentarze 2

Hack został pokazany przez słynny chiński Keen Security Lab. Poza wykorzystaniem kilku błędów typu 0-day, ominięty został mechanizm code signing, sprawdzający integralność działającego w samochodzie firmware (mechanizm ten swoją drogą wprowadzono po zaprezentowaniu przez ten sam team, ataku na Teslę model S – w 2016 roku).  Finalnie uzyskano dostęp do…

Czytaj dalej »

Wstrzykiwanie JavaScriptu na Wykop

28 lipca 2017, 12:18 | W biegu | komentarzy 5

Ostatnio użytkownicy Wykopu marudzili, że coś im psuje sekurak: I to mimo, że sam test trwał kilka sekund… Przyczyna była dość prosta – persistent XSS (czyli możliwość wstrzykiwania dowolnego JavaScriptu innym użytkownikom Wykopu) w mikroblogach. A dokładnie w mechanizmie ankiet: Który skutkował u innych mikroblogowiczów takim komunikatem: Oczywiście potencjalni złośliwcy mogliby…

Czytaj dalej »

Systemy monitorujące promieniowanie w elektrowniach atomowych – hasło admina: 5147

28 lipca 2017, 11:28 | W biegu | komentarze 2

TL;DR: na szczęście Polski to nie dotyczy – nie mamy elektrowni jądrowych ;-) Jak wygląda bezpieczeństwo systemów monitorujących promieniowanie w elektrowniach atomowych? Firma IO Active opublikowała raport zawierający informacje o kilku podatnościach. Jedna z nich jest w bramce monitorującej skażenie pracowników: Tutaj wykryto zahardcodowane (backdoor?) hasło w panelu sterowania dające…

Czytaj dalej »

Hackuj legalnie banki, telcomy, e-commerce, rządówkę, …

27 lipca 2017, 21:25 | W biegu | komentarze 3

Jak zaprezentować firmę? Chyba najlepiej oddać głos ludziom, którzy w niej pracują. Tak właśnie zrobiliśmy, a wybrane głosy poniżej. Jakie więc są plusy pracy w Securitum? Takie: Ekipa. Atmosfera. Ludzie z ogromną wiedzą i chęcią dzielenia się nią   Niekomplikowanie prostych spraw, bardzo daleko od korporacyjnych klimatów.   Brak rutyny…

Czytaj dalej »

Nowa podatność w sieciach komórkowych 3G/LTE – możliwość namierzania lokalizacji użytkowników

27 lipca 2017, 10:49 | W biegu | 1 komentarz

To echa tegorocznego BlackHat USA. Podatność wykorzystuje lukę kryptograficzną w jednym z protokołów w ramach 3G/LTE, która dalej umożliwia analizę tego kiedy a) ofiara dzwoni b) wysyła SMS-y. Możliwe jest też namierzenie fizycznej lokalizacji ofiary: (…) attacker to monitor consumption patterns, such as when calls are made and when text…

Czytaj dalej »

Kaspersky antywirus za darmo

26 lipca 2017, 22:10 | W biegu | komentarzy 15

Tak, podstawowy antywirus Kasperskiego – bez ekstra opcji typu VPN czy kontrola rodzicielska – jest  darmowy. Co więcej, w tym produkcie nie ma żadnych reklam, którymi czasem napędzane są darmowe produkty konkurencji. Teraz kruczki – dostępność darmowej wersji ma być zapewniana stopniowo (obecnie jest już w kilku krajach, lada chwila…

Czytaj dalej »

Zablokują Google w Rosji? Jest to bardzo bliskie…

26 lipca 2017, 12:38 | W biegu | komentarzy 8

Duma – niższa izba parlamentu rosyjskiego przegłosowała prowadzenie zakazu używania serwerów proxy czy VPN-ów, które umożliwiają dostęp do zasobów umieszczonych na czarnej liście, utrzymywanej przez rosyjski rząd. Co z tym Googlem? No to zobaczcie jak można wejść na sekuraka, korzystając tylko z usługi Google. Zgodnie z nowym prawem (jeśli zostanie…

Czytaj dalej »

Muzułmańska mniejszość w Chinach musi instalować na telefonach rządowego spyware

26 lipca 2017, 08:33 | W biegu | komentarze 2

A dokładniej chodzi o oficjalnie uznaną mniejszość Ujgurów w prowincji Xinjiang. Wg serwisu Bleepingcomputer, aplikacja sprawdza sumy MD5 lokalnych plików i porównuje ją z rządową bazą „zawartości terrorystycznych”. Dodatkowo, przesyła na rządowe serwery dane użytkownika związane z serwisami Weibo oraz WeChat, a do tego dołącza numery IMEI, IMSI a także „dane logowania do…

Czytaj dalej »

Zostań pracownikiem eksperymentalnym – dostaniesz podskórnego chipa, który potrafi wszystko

24 lipca 2017, 22:39 | W biegu | komentarzy 9

Taką akcję proponuje firma 32M (w kooperacji z jakże adekwatną kompanią BioHax International). Każdy, pracownik, który chce – dostanie chipa:  Three Square Market (32M) is offering implanted chip technology to all of their employees on August 1st, 2017. Można będzie nim otwierać drzwi, płacić, logować się do komputerów, używać kserokopiarek, itp:…

Czytaj dalej »