-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

W biegu

Podatność w Androidzie – można wykradać SMSy – trudne do wykrycia

05 maja 2016, 22:00 | W biegu | komentarzy 7

Firma FireEye donosi o podatności w Androidzie (4.3, 4.4, 5.0), która została znaleziona w oprogramowaniu firmy Qualcomm (w ramach pakietu network_manager, który jest składnikiem Android Open Source Project). Podatność została wprowadzona aż w 2011 i przede wszystkich dotyka Androida 4.3 (ok 34% całej „populacji” Androida) – pozostałe systemy są podatne w mniejszym…

Czytaj dalej »

OpenSSL łatając jedną podatność…wprowadził kolejną – severity: High

04 maja 2016, 21:34 | W biegu | komentarze 2

Wydaje się, że powoli czas odchodzić od OpenSSL: tym razem wydano paczkę zawierającą poprawki m.in. 2 błędów o poziomie niebezpieczeństwa wysokim. Jedna z nich umożliwia na częściowe odszyfrowanie ruchu (z wykorzystaniem odpisywanego ostatnio przez nas Padding Oracle) – przy pewnych warunkach. Błąd wprowadzono łatając podatność Lucky 13 (CVE-2013-0169), która łatała…

Czytaj dalej »

ImageMagick – krytyczny błąd / wykonanie kodu przez upload 'normalnego’ obrazka – masa systemów podatna

04 maja 2016, 08:04 | W biegu | komentarze 4
ImageMagick – krytyczny błąd / wykonanie kodu przez upload 'normalnego’ obrazka – masa systemów podatna

TL;DR Błąd w ImageMagick umożliwia zdalne wykonanie kodu – wystarczy uploadowanie odpowiednio spreparowanego pliku graficznego. Są gotowe exploity, jest też niekompletny fix (na dzień 4.05.2016), a relacje środowiska są dość nerwowe a całe upublicznienie sprawy dość szybkie i momentami chaotyczne. Jako bonus (niezależnie od OS command exec) możliwe są też scenariusze: SSRF,…

Czytaj dalej »

Ukradł z bankomatu skimmer i wykonał jego analizę

02 maja 2016, 21:47 | W biegu | komentarzy 6

Tym razem skimmer udawał osłonę na pinpad, służącą normalnie do tego żeby utrudnić ujawnienie wpisywanego PIN-u (!): Później okazało się w środku jest urządzenie domowej konstrukcji, posiadające własną kamerę (z detekcją ruchu) i umiejące zapisywać nagrane filmy (z wpisania PIN-u) na karcie SD: Filmy te zresztą udało się cytowanemu badaczowi…

Czytaj dalej »

Najnowsze wydanie „Programisty” już dostępne

02 maja 2016, 08:58 | W biegu | 0 komentarzy

Najnowsze wydanie „Programisty” ponownie „blisko krzemu”. Tytułowy artykuł najnowszego wydania szczegółowo opisuje detale implementacyjne zarządzania pamięcią w procesorach, których wszyscy na co dzień używamy. Autorem tego opracowania jest Maciej Czekaj, który uzasadnia, dlaczego tak zwana „pamięć współdzielona” to duże uproszczenie tematu, a w rzeczywistości podobnie jak w przypadku aplikacji działającej…

Czytaj dalej »

Trendy w blackhackingu – raport Verizon analizuje przeszło 100 000 incydentów

01 maja 2016, 20:46 | W biegu | 0 komentarzy

To już dziewiąta edycja corocznego raportu od firmy Verizon (Data Breach Investigations Report). Tym razem przeanalizowano ~100000 incydentów bezpieczeństwa z czego 2260 to potwierdzone kradzieże danych (data breach). Kilka ciekawostek na zachętę: 1. Obecnie w kategorii data breach królują ataki webowe, które razem z atakami na POS dają aż ~60% wszystkich potwierdzonych…

Czytaj dalej »

Poczytali sekuraka i złamali AES-256 w popularnej platformie dla graczy – Steam

01 maja 2016, 07:53 | W biegu | komentarze 2

Jeśli komunikacja jest szyfrowana za pomocą algorytmu AES-256 (ze złożonym kluczem) – to nie da się jej zdeszyfrować, prawda? No niekoniecznie, jak pokazaliśmy w ostatnim tekście na sekuraku, atak Padding Oracle umożliwia deszyfrację takiego ruchu, a w artykule Breaking Steam Client Cryptografy, pokazano jak taki atak wykonać na konkretnej implementacji. –ms

Czytaj dalej »