W biegu

Wg. szefa security Facebooka, używanie tych samych haseł w wielu serwisach to jeden z największych problemów: The reuse of passwords is the No. 1 cause of harm on the internet Facebook w swojej strategii bezpieczeństwa kupuje więc bazy haseł a następnie porównuje je ze swoimi hashami (co oczywiście wcale nie…

W skrócie – na Wrocław zapisało się ~500 osób, na Poznań (w kilka dni) ~330. Mamy już też pierwsze firmy, którym spodobała się idea i wspierają Sekurak Hacking Party: allegro.tech, Cognifide Akquinet aniolowiekonsultingu.pl i Capgemini (nasz główny wspierający we Wrocławiu). Medialnie wpierają nas Technology Risk and Information Security Forum Wrocław …

Tym razem mamy gratkę dla badaczy bezpieczeństwa IoT – dokładna analiza podatności klasy buffer overflow w wybranych modelach D-Linka. Tym razem chodzi o protokół HNAP i modele: DIR-823 DIR-822 DIR-818L(W) DIR-895L DIR-890L DIR-885L DIR-880L DIR-868L (Rev. B and C) Atak na szczęście można przeprowadzić tylko z LAN (uzyskując roota na…

To mamy nową kategorię ataków, warflying? ;) W każdym razie badacze byli w stanie z odległości około 300 metrów zaatakować system inteligentnych żarówek: Na filmie poniżej mały PoC całości – żarówki zaczynają mrugać kodem morsa (sygnał SOS), a całość wykorzystywała exploita na popularnym w IoT standardzie komunikacji ZigBee: –Michał Sajdak

Dobra informacja, temat o który pytaliście jest realny. Sekurak Hacking Party w Poznaniu planujemy na 20 grudnia 2016 (~18:00 – 20:30). Wspiera nas allegro.tech i oczywiście Securitum. Jeśli wstępnie chciałbyś się wybrać, wypełnij formularz: Uwaga – zapisy są wstępne (potrzebne do oszacowania wymagań pojemności sali). Finalne potwierdzenie zapisu zrobimy niedługo przed…

Całościowy i działający projekt ukrycia stacji bazowej GSM w drukarce HP: Stacja bazowa wysyła SMSy do telefonów, które się do niej podłączyły. Losowo też dzwoni do wybranych podłączonych aparatów i odgrywa im zapisaną MP3-jkę. Potrafi też korespondować SMSowo z kimś, kto zapragnie jej odpisać, drukując później szczegóły takiej komunikacji (wraz…

Podobnie jak pozycję „Zrozumieć Programowanie” – patronatem objęliśmy również i nową książkę wydawaną pod skrzydłami PWN – „Praktyczna inżynieria wsteczna„. Na szybko – w przyszłym tygodniu będzie też można pogadać z Gynvaelem na wieczorze autorskim – pod koniec pierwszego dnia konferencji PWNing (na której mamy też prezentację): Co z tego wynika…

Idzie, idzie… ale mozolnie ;) Obecnie mamy roboczo złożone już ponad 60 stron Sekurak zina #3: Pierwszy numer można bezpłatnie pobrać tutaj, drugi tutaj (oba w temacie bezpieczeństwa aplikacji webowych). [wysija_form id=”4″]     –ms  

Kilka szczegółów dotyczących niezałatanej podatności w jądrze Windows 10. Błąd umożliwia na lokalne rozszerzenie uprawnień (analogicznie jak linuksowy Dirty Cow), co daje m.in. możliwości wyskakiwania z sandboksów. Nota bene – akurat googlowy Chrome używa pewnej ochrony, która szczęśliwie to uniemożliwia. Pełne konsekwencje luki zostaną zapewne opublikowane niebawem, a obecna publikacja ma…

Najsłynniejszy już chyba botnet na IoT – Mirai (użyty w ostatnich kilku dużych DDoSach) jest analizowany nie tylko pod względem użycia w nielegalnych celach. Ostatnio, badacze z firmy invincealabs znaleźli w Mirai (a dokładniej w jednym z requestów powodujących) podatność klasy buffer overflow: stack buffer overflow vulnerability in the HTTP flood…

Załoga, która pokazała ostatnio hack na Teslę (Tencent Keen Security Lab), najwyraźniej się rozkręca. Tym razem w organizowanym przez Trend Micro pwn2own mobile zgarnęli aż $215 000: Instalacja lewej aplikacji na Nexusie 6P – $102 500 Instalacja lewej aplikacji na iPhone 6S – $60 000 (aplikacji nie udało się tylko przeżyć restartu)…

Temat intuicyjnie wydaje się być robialny: rozmawiam z kimś przez Skype (czy przez inny podobny komunikator), rozmówca pisze coś na klawiaturze, dekoduję z transmisji głosu uderzenia klawiszy klawiatury ofiary. No właśnie, teraz już nie trzeba spekulować: In this paper, we investigate a new and practical keyboard acoustic eavesdropping attack, called…

Wydano nową wersję Joomli, w której załatano dwa błędy dające finalnie możliwość wykonania kodu na serwerze: Możliwość założenia konta nawet gdy zakładanie kont jest wyłączone. Używając 1. – możliwość założenia konta o uprawnieniach admina (czy ogólnie z większymi uprawnieniami niż standardowy użytkownik). Dalej hulaj dusza – można z admina wykonywać kod…

Na SHP we Wrocławiu mamy obecnie 405 zarejestrowanych, jak ktoś chce jeszcze dołączyć – nie jest za późno. Termin 13 stycznia 2017. Wspiera nas Capgemini (załatwia salę). Na tak dużą liczbę osób będzie wynajęte prawdopodobnie kino lub coś na Politechnice. Niedługo start zapisów na Poznań (startujemy tam w grudniu). –ms

Apple właśnie wydał aktualizację do swoich systemów operacyjnych – zarówno tych używanych na iPhone-ach / iPad-ach, jak i w swoim flagowcu – macOS. W opisie znajdziemy np. taką niespodziankę: Viewing a maliciously crafted JPEG file may lead to arbitrary code execution. I dalej: An application may be able to execute…