W biegu

Motherboard publikuje raport, który 'wyciekł’ z Google (sam serwis nie precyzuje źródła wycieku) . Dokument jest datowany na 2014 rok i nosi tytuł: Peering Into the Aquarium: Analysis of Sophisticated Multi-Stage Malware Family. Jeśli ktoś zna Wiktora Suworowa, to powinien odczytać aluzję… I zgadza się – raport traktuje o malware, wykorzystywanym…

Łopatologiczny tutorial dla tematu z tytułu, w tym poruszenie takich tematów jak fuzzing + przykładowy skrypt do tego. Czytelników zainteresowanych tematyką odsyłam też do innego mega kursu z eksploitowania binarek. –ms

Arstechnica donosi o nowatorskiej metodzie śledzenia użytkownika, nawet jeśli na komputerze używa różnych przeglądarek. Jak to działa? Za pomocą mapowania istotnych komponentów komputera, z którego korzystamy. Są to takie elementy jak: rodzaj GPU, wykorzystane głośniki (wbudowane, zewnętrzne, słuchawki,…) , charakterystyka CPU, pomocne mogą być też zainstalowane fonty…: our approach utilizes…

Opis wykorzystanych do budowy crackera (czy odzyskiwacza haseł jak wolą niektórzy) komponentów, napotkanych problemów, wykorzystanych narzędzi – możecie znaleźć tutaj. Na uwagę zwraca też wykorzystanie webowego narzędzia hashview, automatyzującego wiele czynności w hashcacie. Sam time lapse: –ms

Niezniszczalna, z długo żyjącą baterią a do tego wbudowany Snake + ciężko ją zhackować. Wg wielu serwisów legendarna Nokia 3310 w nowym wydaniu ma kosztować 59 EUR i być ogłoszona jeszcze w lutym tego roku. –ms

STX. Zestawienie kilku niegdyś kluczowych, choć obecnie dzisiaj trochę zapomnianych tematów przygotował Eric S. Raymond. Część z nich odżywa w dzisiejszych czasach – jako choćby RS232 w kontekście hackowania IoT… Swoją drogą, kto pamięta bajeczne dźwięki podczas 0202122 ? … tą muzykę można też namierzyć w jednym z naszych historycznych hackme (zachęcam…

Interesujący prawnie (i realnie) problem. Człowiek nie posiada formalnych zarzutów, ale nie chce podać hasła do dysku, na którym wg śledczych może znajdować się dziecięca pornografia. Obecnie Francais Rawsl odsiedział w więzieniu 16 miesięcy i nie wygląda żeby miał je w najbliższym czasie opuścić: He’s not charged with a crime….

Bruce Schneier wykonał mrówczą robotę i zebrał w jednym miejscu świeże dokumentacje dotyczące bezpieczeństwa IoT. Być może kojarzycie zestawienie OWASP-u w tym temacie, ale już dokumenty typu IoT Trust Framework, czy Future Proofing the Connected World są pewnie dla większości z Was nowością. –ms

…nie Facebook, nie Dropbox – choć są one wysoko. Laureatem globalnym wg badań firmy MobileIron jest Angry Birds. Małe zestawienie poniżej: –ms

Powodem jest /bin/ntfs-3g który posiada bit suid (właściciel root). Jeśli nasz linux nie obsługuje FUSE, ntfs-3g uruchamia modprobe i próbuje dorzucić do jądra odpowiedni moduł. Problem w tym, że modprobe nie bardzo powinien być używany wewnątrz suidowanej binarki, czytamy bowiem: The MODPROBE_OPTIONS environment variable can also be used to pass arguments…

Wg serwisu Silicon tym razem był to … wielokrotnie wspominany w ostatnich dniach na sekuraku problem z WordPressem 4.7.0/4.7.1. Silicon zaznacza, że Rik Ferguson z Trend Micro potwierdził incydent i skwitował całość tak: it goes to show how breaches are an unfortunate fact of life and that companies should be judged…

Nie do końca wiadomo w jaki sposób udało się komuś umieścić w Google reklamę Amazona, wyglądającą jak perfekcyjnie legalna, ale prowadzącą do zupełnie innego URL-a: Docelowa strona sugerowała, że mamy problem z infekcją komputera i rekomendowała telefon na rzekomy support Microsoftu (gdzie operatorzy proszą np. o podanie numeru karty kredytowej czy zainstalowanie odpowiedniego…

Niedawno pisaliśmy o podatności wprowadzonej w wersji 4.7.0 WordPressa. Później było o kampaniach wykorzystujących ten błąd (ofiarą są również serwisy z Polski). Obecnie pojedyncze kampanie przybrały na sile i jednocześnie pojawiły się nowe grupy atakujące WordPressa. Ciekawe zestawienie w tym temacie przygotowała firma Wordfence – gdzie mamy odpowiednie sygnatury kampanii…

Pamiętacie heartbleed-a? (dzięki błędowi w OpenSSL można było bez uwierzytelnienia odczytywać pamięć z serwera). Podobny problem załatano niedawno na urządzeniach F5 – różnica jest taka, że jednorazowo można wyciągać do 31 bajtów pamięci z serwera – nie 64k (przy czym można to robić iteracyjnie). A w pamięci mogą znajdować się……

Tego roku też pojawimy się kilkoma osobami na Semaforze. To już 30-31 marca 2017r. w Warszawie. Osobiście, drugiego dnia będę miał zupełnie nową prezentację w temacie hackowania IoT.  Choć nie wiem ile zostanie z samej 'prezentacji’, bo duża część będzie z obszaru live hacking. Zobaczycie hackowanie na żywo profesjonalnej kamery…