W biegu

Szczegółowe dane personalne (nazwiska, adresy e-mail, numery telefonów, opisy stanowisk) 20 tys. agentów FBI zostały właśnie upublicznione przez bliżej nieokreśloną osobę lub grupę: 20,000 FBI EMPLOYEES NAMES, TITLES, PHONE NUMBERS, EMAILS, COUNTRYhttps://t.co/c5mvY49P8S password is lol#FreePalestine — penis (@DotGovs) February 8, 2016 Więcej o całej sprawie napisał Motherboard. — WS

Chińczyk potrafi – czyli krótki, ale treściwy wpis na chińskim blogu, pokazujący różne nietypowe techniki działające na skanery kodów kreskowych. Uruchomienie sekwencji CTRL+o na czytniku? Nie ma problemu. CTRL+r cmd – też prościzna ;-) Można powiedzieć nawet – RCE w kieszeni – w postaci kilku kodów do skanowania. –ms

Było już na sekuraku o deserializacji w Pythonie, Javie, czy PHP – wszystko w kontekście zdalnego wykonania kodu w aplikacji webowej. Dla odmiany polecam zerknąć na świeże opracowanie podobnej sytuacji – ale na przykładzie aplikacji napisanej w Perlu. –ms

Jak wiemy, szyfrowanie end-end niewiele da jeśli mamy zainfekowaną choćby jedną stronę komunikacji (tak to działa z https – malware bankowy zbytnio się nim nie przejmuje). Kolejne potwierdzenie tego faktu to nowe narzędzie (backdoor) ochrzczone jako T900 i  wykorzystywane prawdopodobnie do cyber szpiegostwa. T9000 potrafi nagrywać rozmowy Skype ale również wykradać dokumenty czy…

W Windowsie ze względu na wydajność fonty były (i są) obsługiwane w wysoko uprawnionym kernel mode. Od strony bezpieczeństwa jest to zupełnie bez sensu, bo odpowiednio spreparowany font może służyć do wykonania kodu z bardzo wysokimi uprawnieniami jądra. Krótki opis przykładowej podatności w tym temacie: The vulnerability could allow remote code…

Zapewne znacie serwisy webowe, które zachęcają nas do uruchomienia malware poprzez prezentowanie przycisków z ’pobraniem aktualizacji’ czy z instalacją ’nowego antywirusa’: Aby walczyć z tym problemem, Google ogłosił rozszerzenie programu Safe Browsing o wykrywanie i blokowanie właśnie serwisów prezentujących 'deceptive embedded content’ – czyli np. wspomniane wyżej przyciski instalujące malware….

W ramach naszego stałego patronatu zachęcamy do zerknięcia do nowego, lutowego wydania „Linux Magazine”, który poświęcony jest skryptom powłoki, które pozwalają nam tworzyć własne procedury monitorujące; na DVD znajduje się dystrybucja live Knoppix 7.6.0. Wewnątrz wydania również: śledzenie użytkowników w Sieci za pomocą canvas i evercookies, funkcje skrótu sól i pieprz,…

Przy okazji ostatnio raportowanej na sekuraku podatności, warto zwrócić na ciekawą, nową miarę jeśli chodzi o istotność błędów bezpieczeństwa. Otóż serwis scip.ch, poza wartością CVSS, raportuje podatność np. tak: Znacie może inne serwisy agregujące podatności, które posługują się podobnym wskaźnikiem? –ms

Firma Cisco udostępniła łaty dla grubo ponad 70 swoich urządzeń, z czego chyba najciekawszą podatnością jest SQL injection w urządzeniu: Cisco RV220W Wireless Network Security Firewall (swoją drogą, jakiś czas temu ekipa sekuraka znalazła nieuwierzytelniony SQLi w innym urządzeniu Cisco – Security Appliance). W tym przypadku atakujący może ominąć uwierzytelnienie i…

Udostępnianie z otwartym źródłem narzędzi związanych z (ofensywnym) bezpieczeństwem zawsze stwarza ryzyko, że projekt wymknie się spod kontroli i zacznie być używany w niezbyt godnych pochwały celach. Tak było niedawno w przypadku systemu do tworzenia kampanii ransomware. W przypadku Gophisha autorzy postawili na wygodę używania (vs. choćby popularny SET), a…

Wraz z ciągle rosnącą popularnością bezzałogowych statków powietrznych rozmaite służby pracują nad skutecznymi metodami zwalczania potencjalnie niebezpiecznych obiektów latających tego typu.

Dostępna jest nowoczesna wersja klasycznego opracowania: Smashing the Stack for Fun & Profit by Aleph One, wprowadzającego w świat podatności klasy buffer overflow. Całość jest zreformatowana + dodana masa grafik ilustrujących problem: –ms

Betanews donosi, że tryb anonimowego przeglądania – InPrivate – zaimplementowany w przeglądarce Edge, zapisuje historię przeglądania użytkowników w WebCache: (…) by examining the WebCache file it is a relatively simple task for someone to reconstruct full browsing history, regardless of whether surfing was performed in regular or InPrivate mode. Microsoft odpowiada –…

Niekwestionowany lider badań nad bezpieczeństwem urządzeń sieciowych – Craig Heffner, właściciel  bloga devttys0, po wielu latach zapowiedzi wreszcie ogłosił oficjalnie uruchomienie kursu >Hardware Hacking<. Reklamę warsztatów możecie zobaczyć poniżej a agendę –  tutaj.   Całość na razie jest dostępna w USA (ale z pewnym prawdopodobieństwem pokaże się też wersja on-line). A…

O dystrybucji Tails pisaliśmy już jakiś czas temu. Obecnie wydano jej wersję 2.0, która poza załataniem sporej liczby podatności,  wprowadza niezłą dawkę usprawnień.