No właśnie, kto czyta regulaminy? Żeby to sprawdzić, firma Purple udostępniająca hot spoty WiFi, w zasadach korzystania z nich umieściła następujący zapis: the user may bebe required, at Purple’s discretion, to carry out 1,000 hours of community service. This may include the following: Cleansing local parks of animal waste Providing…
Czytaj dalej »
Cisco załatało właśnie kilka podatności w obsłudze popularnego protokołu SNMP. Podatna jest obsługa wszystkich wersji – SNMP v1, v2c oraz v3: The Simple Network Management Protocol (SNMP) subsystem of Cisco IOS and IOS XE Software contains multiple vulnerabilities that could allow an authenticated, remote attacker to remotely execute code on an affected system…
Czytaj dalej »
Ostatnio pisaliśmy o podatności Broadpwn zaznaczając też sceptyczny głos („realnie pewnie nie zadziała…”). A tymczasem ów sceptyczny badacz – Zhuowei Zhang – przedstawił drugą część swojego badania, gdzie pokazuje testowy exploit, rebootujący telefon (+ kernel crash) po podłączeniu się do odpowiednio spreparowanej sieci WiFi. W skrócie: If you’re near a malicious Wi-Fi network,…
Czytaj dalej »
Angielska policja opublikowała film nagrany parę dni temu z operacji siłowego wyciągania całego bankomatu z budynku za pomocą tego typu ładowarki: Jak widać przestępcy nie przejmowali się też zbytnio samym budynkiem, w którym zamontowany był bankomat… Warto też zwrócić uwagę na godzinę całej operacji – około 3 w nocy. To…
Czytaj dalej »
Podatność okryta przez Roberta Święckiego, i właśnie załatana (w wersji 2.4.27). Pierwszy problem (score 7.4 w skali CVSSv2) umożliwia na otrzymanie fragmentu zawartości pamięci z serwera, wysyłając odpowiednie nagłówki do serwera korzystającego z modułu mod_auth_digest. Pamiętacie Heartbleed? Stąd i robocza nazwa podatności mini-Apache-bleed: The value placeholder in [Proxy-]Authorization headers of type…
Czytaj dalej »
Sądy w Szwecji to nie jest polskie tempo. Tam sprawy dzieją się szybko, czasem ekspresowo szybko. Zobaczmy. Jak donosi Bloomberg, i kilka innych serwisów – ofiarą padł Alf Goransoon – szef Securitas AG. Najpierw (marzec 2017) z wykorzystaniem kradzieży tożsamości spróbowano wziąć pożyczkę, a niewiele później wysłano do sądu rejonowego…
Czytaj dalej »
Akcja wydarzyła się w Rumunii. Jak donosi kilka serwisów – profesor kryptografii (brzmi równie dumnie jak profesor hackingu ;-) znalazł maszynę na pchlim targu, gdzie była oferowana jako 'stara maszyna do pisania’ w cenie 100 EUR. Sprzęt został wystawiony na aukcję z ceną wywoławczą 9000 EUR, a sprzedał się za 45 000…
Czytaj dalej »
Wszyscy użytkownicy Microsoft Office zapewne znają krój pisma Calibri – w końcu począwszy od stycznia 2007 roku jest on używany jako domyślny we wszystkich wersjach znanego nam pakietu biurowego. Wtedy też został udostępniony publicznie. Nie wiedziała jednak o tym rodzina Nawaza Sharifa, byłego premiera Pakistanu, który obecnie oskarżany jest o nadużycia korupcyjne. M.in. jego córka…
Czytaj dalej »
W zasadzie tyle w temacie :P Wydawanie nowego typu certyfikatów ma się rozpocząć od stycznia 2018r. Swoją drogą ktoś podzieli się dobrymi/złymi wrażeniami odnośnie działania Let’s Encrypt? –ms
Czytaj dalej »
Wpis na blogu jest dość spory, ale całość sprowadzała się do prostej rzeczy: okazało się, że domeny odpowiadające oficjalnym serwerom nazw dla domeny .io (dig NS io. ) można było śmiało zarejestrować na siebie. No dobra – dokładnie rzecz biorąc – cztery z siedmiu. Przykład takiej nazwy to ns-a1.io Autor cytowanego…
Czytaj dalej »
Najciekawsze materiały lipcowego wydania „Linux Magazine” zawierają analizę tworzenia bardziej czytelnych wyrażeń regularnych z Simple Regex Language, instrukcje zabezpieczania i monitorowania kontenerów w środowiskach Enterprise oraz przegląd interfejsów graficznych dla Systemd. Na dołączonym DVD znajduje się Debian 9. Wewnątrz wydania również: dystrybucje: elegancka, prosta i oparta na Arch Linuksie Chakra…
Czytaj dalej »
Google właśnie wypuścił lipcowy Android Security Bulletin, gdzie wśród całej hordy błędów oznaczonych jako RCE/Critical, jest też CVE-2017-9417 w sterownikach Wi-Fi Broadcoma. Jeśli sam Google nadaje taką flagę dla buga w swoim produkcie, raczej nie może być drobnostka. Pamiętacie podobną historię sprzed paru miesięcy? Wygląda to na podobny i wg autora…
Czytaj dalej »
Checkpoint opisuje androidowy malware o nazwie CopyCat, który wg szacunków tylko w dwa miesiące potrafił zainfekować około 14 milionów Androidów – z czego aż 8 milionów zostało zrootowane. Operacja – wg wyliczeń Checkpointa – przyniosła 1.5 miliona dolarów przychodu, który był generowany przez różne odmiany fałszywych reklam (były to ordynarne…
Czytaj dalej »
Dla najnowszej wersji Petya (EternalPetya/NotPetya) ktoś żąda 100 BTC, tymczasem niejaki Janus, udostępnił klucz prywatny z wysokim prawdopodobieństwem umożliwiający deszyfrację dla wszystkich poprzednich wersji Petya (dla pewności: niestety nie wliczamy w to najnowszej odmiany). Kto więc zachował obraz zaszyfrowanego dysku, może otwierać szampana. Moment ten może wyglądać tak: Jak czytamy…
Czytaj dalej »
Na start – jak chcecie zobaczyć takiego zip-a – proszę. To przykład zip bomby, zipa śmierci, czy bomby dekompresyjnej. W przykładzie z tytułu, ktoś zdenerwował się ciągłym skanowaniem swojego serwisu i postanowił odsyłać zip-bomby (warto zwrócić uwagę na dyskusyjną legalność takiego działania…). W tym przypadku została użyta prostsza bomba, gdzie plik…
Czytaj dalej »
