W biegu

Pewnie część z Was zna już produkt USB RUBBER DUCKY – to pendrive będący w rzeczywistości klawiaturą na USB, w której można prekodować sekwencje klawiszy które zostaną wysłane po podłączeniu sprzętu do komputera: Rubber Ducky dostępny jest na rynku od długiego czasu, a teraz udostępniono zaktualizowaną wersję kodera (w pythonie) umożliwiającą „załadowanie”…

Washington Post pisze o nowym produkcie firmy Humanyze. Z pozoru to „zwykły” pracowniczy badge noszony np. na szyi. Posiada on jednak dwa mikrofony umożliwiające analizę głosu w trybie rzeczywistym czy czujniki ruchu. Ilość wypowiedzianych fraz „cholera” na minutę oznacza np. że jesteś zestresowany (czerwona lampka na komputerze szefa ;), a choćby…

Tym razem mamy podatność w libutils (poziom ryzyka Critical), co oznacza zdalne wykonanie kodu w OS na potencjalnie wiele różnych sposobów (dostarczenie przez e-mail, MMS, itd). Jest też gotowy exploit, podobno dość sprawnie działający: The provided exploit performs this on several recent Android versions for the Nexus 5x; and is both reliable…

Bez wielkich fanfarów wydano niedawno nową wersję Veracrypta, który wśród różnych fixów i usprawnień zawiera również łatkę na błąd wykryty w Truecrypcie: Fix TrueCrypt vulnerability allowing detection of hidden volumes presence (reported by Ivanov Aleksey Mikhailovich, alekc96 (at) mail dot ru) Swoją drogą to właśnie Veracrypt wydaje się być sensowną alternatywą…

Teraz sprzedawany również z opcjonalnym sprzętem: „USB Protection Shield” pozwalający przetestować killera, ale bez niszczenia komputera do którego go wpinamy. Ponoć niszczy: laptopy, PC-ty, telewizory, itp.  Używajcie tylko na własnym sprzęcie… –ms

Podatności zostały zgłoszone (i zaprezentowane) miesiąc temu, przy okazji konferencji DefCON: In this presentation we will review not only the privilege escalation vulnerabilities we found, but also demonstrate and present a detailed exploitation, overcoming all the existing mitigations in Android’s Linux kernel to run kernel-code, elevating privileges and thus gaining…

Ciekawy eksperyment – szczególnie dla naszych fanów z Wrocławia. W każdym razie…: jeden z naszych czytelników podesłał link do materiałów umieszczonych na wykop.pl dotyczących dziwnych doniesień dotyczących studentów we Wrocławiu. Ponoć jakaś firma prowadzi eksperymenty z wirtualną rzeczywistością co niektórzy łączą ze zwiększoną liczbą ataków epilepsji. Ktoś ma więcej informacji?…

Nasz mini research na TP-linkach (zobaczcie też poprzedni nieuwierzytelniony root na TP-Link Archer). Root w banalny sposób, 'Normal User’ z UID=0 (?). TP-Link właśnie poprawił i potwierdził, że to nie ficzery a bugi ;-)     –Michał Sajdak

leakedsource.com informuje o kolejnym gigantycznym wycieku danych. Tym razem blisko 100 milionów haseł (w postaci jawnej) wyciekło z jednego z największych rosyjskich portali internetowych Rambler.ru.

W USA aresztowano 27-latka, któremu postawiono zarzuty shackowania w sumie 4 serwerów należących do Linux Kernel Organization: he is alleged to have gained unauthorized access to the four servers by using the credentials of an individual associated with the Linux Kernel Organization. According to the indictment, Austin used that access…

Kilka ciekawych wpisów (z dostępnym kodem w pythonie) pokazujących jak automatycznie namierzać ciekawe zasoby w darkwebie – od mapowania kluczy publicznych ssh, przez wykorzystanie shodana, skanowanie domen .onion,  po wizualiację:   Z ciekawostek, autor przygotował też choćby skrypty w pythonie, robiące OSINT już w normalnym webie – np. wykrywające zdjęcia…

W tym numerze, z naszej strony Michał Bentkowski dzieli się tekstem o tym, jak w prosty i niedrogi sposób szybko zwiększyć bezpieczeństwo swojej aplikacji webowej. Sami wydawcy z kolei piszą tak: Jubileuszowe pięćdziesiąte wydanie „Programisty” jest wydaniem rozszerzonym, co oznacza, że w tym miesiącu znajdziecie w nim jeszcze więcej artykułów…

Dzisiaj krótko – o samym szkoleniu z bezpieczeństwa frontendu aplikacji webowych pisaliśmy niedawno… Co poskutkowało tym, że na najbliższą edycję we wrześniu jest już pełna grupa. Kolejne terminy mamy ogłoszone na początek listopada (Kraków) i grudzień (Warszawa), jeśli chcielibyście inne miasta lub może interesowałoby Was szkolenie zamknięte (w siedzibie firmy,…

Od Organizatorów: Codemotion to jedna z największych konferencji technicznych w Europie. W tym roku w dniach 15-16 września zawita również w Polsce jako Codemotion Warsaw. Przez dwa dni na ekranach kina Atlantic w Warszawie będzie można zobaczyć prezentacje o tematach takich jak Web development, Big Data, DevOps, IoT/IoE, Design, Cloud,…

Jakiś czas temu pisaliśmy o podatności Rowhammer, ale wiele badaczy stwierdziło że ataku się nie da przeprowadzić w kontrolowany  sposób w praktyce. Okazuje się jednak, że praktyczne ataki tego typu jak najbardziej są możliwe i wykorzystuje też opisywany przez nas swego czasu atak kryptograficzny Bit-Flipping: We introduce Flip Feng Shui (FFS), a…