W biegu

Skądś już to znamy? W styczniowych łatach do Androida, Google umieścił taką informację: The most severe of these issues is a Critical security vulnerability that could enable remote code execution on an affected device through multiple methods such as email, web browsing, and MMS when processing media files. Wygląda na…

Jeśli ktoś chce zajmować się bezpieczeństwem aplikacji webowych, powinien zacząć od OWASP Top Ten. To swojego rodzaju w prowadzenie w dziesięć najistotniejszych klas podatności w aplikacjach webowych. Dla tych z kolei, którzy nie lubią czytać jest też dostępne podsumowanie każdej klasy podatności w formie kilku/kilkunastominutowych filmików. Ostatnia wersja dokumentu jest…

Szukałem ostatnio czegoś co przyspieszyło by naukę reveng dla platform alternatywnych do x86 (głównie: ARM/MIPS) i znalazłem to narzędzie obsługiwane ze zwykłej przeglądarki. Piszemy kod w C++ i mamy niemal od razu widok odpowiednich instrukcji assemblera. Dodatkowo, dana linijka w C++ i odpowiadające jej instrukcje assemblera oznaczane są tym samym kolorem: Dalej,…

Ciekawą historię fizycznego przejęcia drukarki WiFI opisuje Blake Messick. Najpierw wydrukował coś na niezabezpieczonej drukarce sąsiada: Sąsiad zareagował wyrzuceniem tego ’samo-świadomego’ sprzętu: Na koniec – pwned: –ms

Jeśli jeszcze nie znasz od strony technicznej podatności klasy buffer overflow – polecam kompaktowy poradnik opisujący temat krok po kroku. Od podstaw, przez stos, przykładowy kod – aż po exploit.  

Schemat piramidy zagarnięty przez ransomware. Popcorn Time w celu odszyfrowania plików, proponuje ofierze alternatywnie: Płatność 1 BTC lub Zarażenie co najmniej 2 inne osób (jeśli zapłacą one okup, to dostaniesz klucz deszyfrujący gratis). Nieprzyjemne, ale prawdziwe :/ –ms

Mamy trochę pytań, gdzie można pobrać sekurak zina #1 oraz #2?  (to ~120 stron bezpłatnego materiału o bezpieczeństwie aplikacji webowych). Odpowiedź: Pierwszy numer tutaj. Drugi numer tutaj. Chcesz być na bieżąco z nowymi / kolejnymi wydaniami? kliknij tutaj. Wybrani szczęśliwcy mają już dostęp do trzeciego numeru (> 80 stron!), oficjalny post…

Windowsowe linki to hit ostatnich miesięcy jeśli chodzi o przemycanie w nich kodu. Zaczął korzystać z tego choćby popularny ransomware Locky. Link dodatkowo może zawierać ustawioną przez nas ikonę, co zwiększa skuteczność ataku: Pod spodem atakujący ma dostęp na naszą maszynę: Kolejne dwa interesujące tematy to możliwość załączenia pliku .lnk…

Ciekawostka przyrodnicza. Niesłynne NSA daje dostęp do swoich zasobów: Now that cyberspace is the primary arena in which we protect information, we are working toward shaping an agile and secure operational cyber environment where we can successfully outmaneuver any adversary. A key step in building Confidence in Cyberspace is a…

W sumie to nic nowego, ale zapewne trend w tym temacie będzie w jedną stronę = więcej tego typu infekcji. W tym przypadku użytkownik zainstalował zewnętrzną aplikację, która okazała się malware i zablokowała telewizor. Reset fabryczny? Nie da się. Tzn da się: poszkodowany narzeka, że w serwisie kosztuje to $340. Ransomare każe płacić…

Podsumowujemy trochę obecny rok i tym razem parę zdań o projekcie, nad którym pracujemy w tle od paru miesięcy. Nazwa kodowa: rozwal.to premium. Platforma w przeciwieństwie do naszego rozwal.to ma udostępniać: Teorię do każdej kategorii Zadania do zrobienia, ale z przyciskiem: 'pokaż rozwiązanie’ Zadania challenges – czyli bez podpowiedzi Każdy ma generowane…

Wydajemy od jakiegoś czasu zina – sekurak/offline (trzeci numer mamy ukończony, pierwsi dostaną zapisani tutaj). Magazyn chcemy udostępniać bezpłatnie, ale dużo osób pisze, że z chęcią wesprze cały projekt. Pobranie cały czas będzie darmowe – ale z opcją zapłacenia – np. 5 / 10 / 20 / 50 zł ? PS Z…

Tajemnicą poliszynela jest fakt, że sieci infrastruktury krytycznej nikt nie chce testować pod względem ew. naruszeń bezpieczeństwa IT. Nikt nie ma infrastruktury testowej, a testowanie na produkcji… może skończyć się mała katastrofą. Kto za to odpowie? Tak, zgadliście – testujący. Tymczasem parę dni temu, nagły blackout na Ukrainie nasunął liczne…

Przez kilka ostatnich lat byliśmy obecni na Semaforze, który kojarzy się bardziej z tematami audytowymi…, jednak nasze w miarę techniczne prezentacje były oceniane wysoko – w zeszłym roku ponoć nawet najlepiej :) W 2017 roku też będziemy z prezentacją na Semaforze, z kolejnymi praktycznymi tematami. Szykujemy również naprawdę ciekawą praktyczną niespodziankę…

Widać że hack^H^H^H^H^H badacze bezpieczeństwa w Święta mają trochę więcej czasu ;) Tym razem mamy możliwość wykonania kodu w systemie operacyjnym poprzez podatność w popularnej bibliotece PHPmailer: SECURITY Critical security update for CVE-2016-10033 please update now! W skrócie, sama biblioteka reklamuje się tak: Probably the world’s most popular code for…