W biegu

Co dopiero załatano podatność w Tor Browser (załatana wersja to Tor Browser 7.0.9 na Linuksa i OS X). Co więcej, wygląda na to że poznanie prawdziwego adresu IP użytkownika w podatnej wersji jest dość proste: Due to a Firefox bug in handling file:// URLs it is possible on both systems that users leak…

Exploita przeżywającego restart telefonu i dającego pełne wykonanie kodu przez WiFi zaprezentował na żywo Tencent Keen Security Lab. Wcześniej podobną rzecz zaprezentował Google, ale było to na starszej wersji systemu operacyjnego. Obecny exploit wykorzystuje w sumie cztery podatności i zadziałał na najnowszej wersji iOS 11.1 – wypuszczonej dosłownie godziny przed pokazem….

Nowego hashcata (4.0.0) ogłoszono tutaj. Największą zmianą jest możliwość łamania długich haseł  (aż do 256 znaków), również takich uzupełnionych o długie sole. Sama ta, pozornie drobna rzecz, zabrała kilka miesięcy pracy. Przyspieszono też działanie narzędzia (w szczególności jeśli chodzi o łamanie WPA/WPA2), usprawniono również działanie na komputerach Apple-a i załatano masę…

…a przynajmniej taki nowy trend próbuje spopularyzować Samsung. Oto koparka Bitcoinów wykonana z 40-stu Samsungów Galaxy S5: Jak to działa? Koreański producent przygotował specjalną wersję systemu operacyjnego, który nadaje się do zastosować w tzw. upcyclingu, czyli w wolnym tłumaczeniu nadania trupom nowego życia ;-) Jaka jest wydajność wspomnianej wyżej koparki? Delikatnie…

Prace na rozwal.to w wersji premium idą do przodu, wprowadziliśmy trochę uwag zgłoszonych przez Was przy okazji beta testów. Zostaje nam wymyślenie modelu płatności (pewne sekcje będą dostępne za darmo), zakodowanie większej liczby zadań (tak żeby na start było ich ok 50) i udostępniamy całość na zewnątrz. Z ciekawostek –…

Podatność występuje do wersji 5.2.21 PHPMailera i z jednej strony została załatana już na początku tego roku. Z drugiej – właśnie pokazał się prosty exploit dostępny w popularnych miejscach. W skrócie – wystarczy użyć formularza wysyłającego maile HTML (i mieć możliwość odczytania takiego maila). Z kolei w treści maila umieszczamy…

Coraz bardziej popularne stają się koparki kryptowalut takie jak na przykład ta lub ta. A że wygodnie jest je skonfigurować tak, aby były dostępne z Internetu – ale można je równie prosto namierzyć i przejąć. Zaznaczamy tutaj, że nie jest to zgodne z prawem. W każdym razie, autor opracowania pokazuje w jaki…

Pierwsza ciekawostka, jest taka, że ukraińska służba bezpieczeństwa wiedziała o planowanym wypuszczeniu malware już tydzień temu. Wydali nawet ostrzeżenie… Wracając do samej analizy technicznej – tak jak wspominaliśmy Bad Rabbit, rozpowszechnia się za przez podstawioną aktualizację Flasha; choć dalszą propagację można łatwo zablokować (szczegółowy opis u siebie szczepionki tutaj). Powiecie więc,…

Dzisiaj kolejna darmowa książka (pdf/epub/mobi – bez DRM!) od Packtpub – tym razem możemy pobrać „Advanced Penetration Testing for Highly-Secured Environments”. To już kolejna pozycja w ostatnim czasie dostępna bezpłatnie (co dopiero była książka o Kali Linux 2). Swoją drogą jeśli ktoś obawia się „Advanced” w tytule książki – dodamy: …

Atak (85% skuteczność) dotyczy komunikatów audio, które należy rozwiązać w ramach udowodnienia bycia człowiekiem. Jako demo wybrano zakładanie kont na Reddicie: Specifically, unCaptcha targets the popular site Reddit by going through the motions of creating a new user, although unCaptcha stops before creating the user to mitigate the impact on Reddit….

HackYeah – 2000 uczestników. Darmowe busy z całej Europy do Krakowa. Kilka zadań do rozwiązania, w tym zmagania z zagadnieniem georewolucji w Krakowie, wyłapywaniem oszustw podatkowych, szukaniem rozwiązań dla sportowców ekstremalnych, problemów społecznych oraz klęsk żywiołowych. Rywalizacja, 24 godziny wytężonej pracy i wartościowe nagrody zgarnięcia o łącznej wartości ponad 100…

Gotowy projekt odpalany z dockera, w skrócie umożliwia skanowanie nmapem (porty TCP) serwisów .onion Przykład: $ docker run –rm -it milesrichardson/onion-nmap -p 80,443 facebookcorewwwi.onion [tor_wait] Wait for Tor to boot… (might take a while) [tor_wait] Done. Tor booted. [nmap onion] nmap -p 80,443 facebookcorewwwi.onion [proxychains] config file found: /etc/proxychains.conf [proxychains]…

Ostatnio załoga ofensywna Microsoftu się rozkręca, ponownie zgłosili do Google zdalne wykonanie kodu w przeglądarce Chrome, otrzymując skromne bounty – $15,837 (które zaokrąglone przez Google do $30 000, zostało przekazane na cele charytatywne). Microsoft przy okazji wytknął Google-owi luźne podejście do publikacji łat krytycznych błędów (konkretniej – upublicznienie łaty, co dawało…

Nowy botnet został okrzyknięty Mirai na sterydach, lub IoT Reaper. Jest on w aktywnej fazie pozyskiwania nowych zombie – a Checkpoint pisze nawet alarmująco, że może on zdestabilizować cały Internet („A massive Botnet is forming to create a cyber-storm that could take down the internet.”). Wspomniani wyżej badacze z Izraela…

Zapraszamy w trybie last-minute na tegoroczną konferencję Secure (można się jeszcze zapisać ze zniżką 20% – kod: securesekurak_20). W tym roku zamierzamy się na niej wyjątkowo intensywnie udzielać: Prezentacja o hackowaniu kamer CCTV na żywo (Michał Sajdak, pierwszy dzień o 15:05). Będzie to nasz autorski research z tego roku. Hackowane…