W biegu

Wstępne zapisy na nasze styczniowe wrocławskie Hacking Party rozpoczęliśmy jakiś czas temu – obecnie jest zapisanych grubo przeszło 500 osób. Update z ostatniej chwili: nasz główny partner wrocławskiej imprezy – Capgemini – załatwił nam dużą salę kinową – przyciemniona sala w Multikinie wygląda na świetne miejsce jeśli chodzi o praktyczne pokazy…

Opublikowano exploita w Javascripcie, który prowadzi do wykonania kodu w OS w systemach Windows (w tym przypadku deanonimizacja użytkownika Tor-a jest już banalna): This is an JavaScript exploit actively used against TorBrowser NOW. Podatny jest wspomniany wyżej Tor Browser (najnowsza wersja bazuje na Firefoksie w wersji 45 ESR), a sam…

Po wycieku źródeł botnetu Mirai, wielu postanowiło go ulepszyć a dalej zmonetyzować. Przykładem jest ostatnia kampania marketingowa gdzie przestępcy zachwalają swój produkt (usługę?) w ten sposób: Ceny są różne, w zależności od kupowanego pakietu. Przykład: price for 50,000 bots with attack duration of 3600 secs (1 hour) and 5-10 minute cooldown…

Interesujący serwis mający za zadanie wyszukać serwisy, w których mamy konto – a następnie wygenerować linki służące do usunięcia tych kont. Idea ciekawa, ale zapewnienie twórców o bezpieczeństwie całości: Privacy and data security is something we regard as extremely important. In fact, its our number one focus from beginning to…

Shodan, czyli chyba najlepsza wyszukiwarka IoT (ale nie tylko…) – mamy tu kamery, lodówki, klimatyzatory, urządzenia z sieci przemysłowych… Za jednorazową opłatą $5 mamy w ramach promocji dostęp m.in. do images.shodan.io (baza zrzutów ekranowych, które wykonał shodan łącząc się do danej usługi), 10000 + wyników dla danego wyszukiwania (zamiast standardowych…

Już na początku 2017 roku Google ma uruchomić wynajem GPU w chmurze. Dostępne będą karty z linii: NVIDIA Tesla oraz AMD FirePro. Na jednej VM ma być dostęp do maksymalnie 8 GPU, a rozliczenie ma być minutowe. Karty mają być dostępne na VM ~bezpośrednio: GPUs are offered in passthrough mode,…

Nowe badanie naukowców z Izraela. Przygotowali oni malware, który zwykłe słuchawki zamienia w…mikrofon. Tak – takie zupełnie nie posiadające normalnej funkcji mikrofonu i podpięte do portu, który w teorii powinien móc tylko nadawać sygnał. Jak pisze Wired, fakt ten jest znany od dawna: Just as the speakers in headphones turn…

Dużo naszych czytelników pyta nas: „kiedy będzie sekurak zine #3″ ? Odpowiadamy niezmiennie: niebawem. Mamy już około 70 stron tekstów + niemal gotową okładkę. Nic tylko doszlifowywać całość i publikować ;-) Dzisiaj mamy dla Was jeszcze jedną propozycję. Zine jest bezpłatny i taki zostaje. Ale chcemy Was zachęcić do wsparcia całego projektu….

Zanim zaczniecie pisać że to fake, zobaczcie na pierwszą literę G – to znak unicode „LATIN LETTER SMALL CAPITAL G” U+0262. Tytuł posta wygląda raczej przekonująco – dla zwykłych użytkowników pierwsza litera jest bardzo podobna do normalnego G, prawda? Otóż sprytni Rosjanie użyli takiej domeny do rozpylania spamu. Całość ma też…

Nie każdy ma wielkie budżety na bezpieczeństwo, ale zapewne większość małych firm ma obecnie styk z IT – co oznacza, że narażone są one na rozmaite ryzyka. Z pomocną ręką wychodzi NIST, który w listopadzie tego roku opublikował kolejną wersję poradnika: Small Business Information Security: The Fundamentals. To zwięzłe opracowanie przeznaczone jest dla…

Szewc bez butów chodzi. Palo Alto znane z rozwiązań mających chronić przed atakami, załatało właśnie podatność w webserwerze służącym do zarządzania swoimi urządzeniami. Luka zaklasyfikowana została jako critical, umożliwia nieuwierzytelnione wykonanie kodu w systemie operacyjnym, przez odpowiednie przygotowanie requestów do webserwera, umożliwiającego zarządzanie urządzeniami Palo Alto (systemy PAN-OS: 5, 6, 7)….

Kilka słów o najnowszym Linux Magazine. Artykuły wiodące listopadowego wydania „Linux Magazine” poświęcone są Sambie i opisują uruchamianie jej w trybie klastrowym z Cephem oraz nowe funkcje Samby 4 mające ułatwić podjęcie decyzji, czy warto migrować z klasycznej domeny Samby do Samby 4, czy lepiej czy poczekać. Jest też analiza…

Jeśli komuś brakuje celów do legalnego ćwiczenia pentestów, powinien się zainteresować projektem Metasploitable. Oddajmy głos samym autorom: Metasploitable3 is a free virtual machine that allows you to simulate attacks largely using Metasploit. It has been used by people in the security industry for a variety of reasons: such as training…

Dość owocnie zakończyła się impreza PwnFest w Seulu. Tym razem pokazano pełne przejęcie telefonu Google Pixel (ten pokaz umożliwił zgarnięcie $120 000) (…)  showing how thet could compromise all aspects of the phone including contacts, photos, messages, and phone calls. Przejęty został również applowy OS X (exploit na Safari + błąd…

Wg. szefa security Facebooka, używanie tych samych haseł w wielu serwisach to jeden z największych problemów: The reuse of passwords is the No. 1 cause of harm on the internet Facebook w swojej strategii bezpieczeństwa kupuje więc bazy haseł a następnie porównuje je ze swoimi hashami (co oczywiście wcale nie…