W biegu

Niski koszt (od $110), kompatybilność z samochodami dużej liczby producentów, dostępne biblioteki,  bazowanie na Arduino i wyprodukowanych już kilka różnych prototypów. To w skrócie projekt Macchina M2, promowany hasłem: Learn about the inner workings of your ride and customize it with Macchina’s M2 hardware, an open and versatile development platform. Twórcom…

Problemem okazał się dysk sieciowy – widoczny zresztą jeszcze na Shodanie. Wśród danych międzynarodowego lotniska Stewart International Airport – w stanie Nowy Jork, były np. loginy / hasła do systemów w wewnętrznej sieci. Może to być dodatkowo problematyczne, bo również inne lotniska, korzystające z tych samym systemów IT, mogą mieć… te…

Historia podobna jak w Dirty Cow: CVE-2017-6074  is a double-free vulnerability  I found in the Linux kernel. It can be exploited to gain kernel code execution from an unprivileged processes. Podatność występuje w module do obsługi protokołu DCCP. Szybka metoda sprawdzenia czy mamy w jądrze wkompilowany ten moduł: zgrep CONFIG_IP_DCCP /proc/config.gz Jeśli…

Trochę osób zgłasza w przeciągu ostatnich ~24h niespodziewane wylogowania z usług Google podejrzewając jakiś incydent bezpieczeństwa. W szczególności, jeśli ktoś używa google-owej poczty mógł  zobaczyć znienacka prośbę o kolejne logowanie się na accounts.google.com – co mogło sugerować próbę phishingu czy innego ataku. Dla uspokojenia – sprawa wygląda rzeczywiście dziwnie, ale Google uspokaja,…

Izraelska firma Cellebrite ogłosiła dostępność nowej wersji swojego systemu CAIS – sprzedawanego głównie organizacjom rządowym: Wg serwisu cyberscoop – cena za odblokowanie telefonu nie jest przesadnie wygórowana – bo wynosi w okolicach $1 500. Nowa wersja systemu może być odpowiedzią na wyciek poprzedniej wersji ich flagowego narzędzia (w końcu klient nie będzie…

Sekurak został patronem medialnym x33fcon. Jak ktoś chce na szybko dostać wejściówkę – prośba o rozwiązanie zadania tutaj: https://rozwal.to/zadanie/23 (dwie osoby już zrobiły, na dwie kolejne czekamy – pierwsza dostanie wejście na x33fcon kolejna na PLNOG-a). O samej trójmiejskiej konferencji x33fcon – mam nieco informacji bezpośrednio od organizatorów (poniżej), a wcześniej – mamy jeszcze rabat…

Mamy dla Was ostatnie 3 miejsca na szkolenie z bezpieczeństwa aplikacji webowych. A całość z 40% rabatem (do szkolenia zostało parę dni, wystarczy w uwagach przy zapisie wpisać 'last minute’). O tym praktycznym kursie pisaliśmy już kilka razy, a jest ono wypełnione po brzegi ćwiczeniami – można będzie w szczególności…

Jakiś czas temu pisaliśmy o przygotowaniach Google-a do uruchomienia GPU w cloud. Dzisiaj stało się to faktem. Za cenę 0,7 USD za godzinę za GPU. Do każdej naszej instancji VM można podłączyć do 8 GPU Nvidii. Obecnie jedyna dostępna karta to NVIDIA K80, która nie jest idealna do np. do crackowania haseł,…

Polecam podsumowanie przygotowane przez przez załogę Kasperskiego. Rozbudowany tekst o tytule Spam and phishing in 2016, jest przeglądem ciekawszych kampanii phishingowych / spamowych, w tym wskazaniem ciekawych trendów (A year of ransomware in spam…). Znajdziecie tam też konkretne przykłady zainfekowanych maili, ale również rozmaite tricki stosowane przez phisherów czy spammerów w…

Co to dużo pisać, podobnie jak ostatnio, mamy tym razem 75 koszulek do rozdania. … wystarczy puścić  maila na sekurak@sekurak.pl – koniecznie z firmowego maila z info: tytuł: koszulka dwa-trzy zdania o sobie ilość koszulek (można max 2 per osoba – ale nie dwie dla siebie :P) + rozmiary adres do…

Kierowana na istotne ukraińskie instytucje operacja, wśród innych danych wyciągała również nagrania audio z zainfekowanych laptopów / komputerów: The operation seeks to capture a range of sensitive information from its targets including audio recordings of conversations, screen shots, documents and passwords. Unlike video recordings, which are often blocked by users simply…

Czy ktoś konkretny ucierpiał finansowo w tym temacie… na razie nie, czy ktoś zgłosił się po odszkodowanie? Chyba też nie… Natomiast bardzo konkretna jest kwota – okrągłe $350 000 000,  które zmniejszyło wcześniej wynegocjowaną wartość przejęcia Yahoo przez Verizon. Jako powód zmniejszenia kwoty sprzedaży podaje się wykrycie dwóch wycieków z Yahoo obejmujących w sumie około…

Już bardzo niedługo (6-7 marca) jesteśmy z prezentacją na warszawskiej konferencji PLNOG. Mam tu prezentację w temacie hackowania IoT – można będzie zobaczyć m.in. na żywo podpisanie się do konsoli debug TP-Linka czy pokaz nowych badań z hackowaniem kamery CCTV firmy Ganz Security (pokaz premierowy). Finalnie będzie tutaj prezentacja jednego URL-a który bez uwierzytelnienia…

Jeśli ktoś jeszcze nie zna naszego zina – polecam zerknąć tutaj. Część z naszych czytelników prosiła o częstsze wydawanie magazynu kosztem nawet mniejszej ilości treści… a tymczasem #4 będzie: a) szybko b) z dużą ilością tekstów o tematyce bezpieczeństwa aplikacji webowych. W czwartym numerze znajdziecie m.in. rozbudowany tekst o hardeningu…

Jak macie ustawione Wasze smartfony / lapotopy? Czy podłączają się automatycznie do sieci WiFi – w szczególności otwartych – z których wcześniej korzystaliście? Może to być błąd, w szczególności na wydarzeniach związanych z bezpieczeństwem… Przekonali się o tym uczestnicy chyba największego eventu na świecie związanego z bezpieczeństwem – konferencji RSA, którzy…