W biegu

Wydaje się że liczba błędów łatanych w Androidzie zamiast spadać – wzrasta. Tym razem, w lipcowym biuletynie bezpieczeństwa, dość niepokojące jest oznaczenie błędu w OpenSSL jako Critical RCE (mimo mniej groźnych informacji na samych stronach OpenSSL): Mimo tego, tym razem Google wymienia jako najbardziej niebezpieczne, błędy związane z obsługą multimediów: The…

Narzędzie AntiRansom ma prosty sposób na walkę z ransomware – tworzy folder przynętę (z losowymi plikami przynętami – xls / pdf) i monitoruje procesy, które się do nich próbują odwołać. W przypadku wykrycia podejrzanej aktywności charakterystycznej dla ransomware – zabija go. O obecnych czasach dość małej finezji ransomware – powinno być lepiej…

Lepton – (kod dostępny na githubie) umożliwia kompresję w trybie streamingu, a rekodowanie JPEG-ów daje całkiem niezłe rezultaty: Lepton achieves a 22% savings reduction for existing JPEG images, by predicting coefficients in JPEG blocks and feeding those predictions as context into an arithmetic coder. Dropbox używa go z powodzeniem na swojej…

Mini rewolucja w kontekście bezpieczeństwa Firefoksa: w najbliższej dużej wersji (planowanej na 2 sierpnia), część komponentów służących do obsługi multimediów będzie przygotowana (zakodowana) w języku RUST. Pamiętacie słynny Stagefright w Androidzie (wykonanie kodu przez… odczytanie MMSa) ? Przed takimi historiami właśnie ma chronić nowy mechanizm. Czym jest owy mało znany…

Gratka dla badaczy przemysłowego malware – badacze z firmy SentinelOne przeanalizowali próbkę znalezioną w jednej z europejskich firm energetycznych. Całość najprawdopodobniej została stworzona przez jeden z „rządów” w Europie wschodniej i wykazuje wysoką złożoność, w tym pewne techniki omijania m.in. polskiego antywirusa (Arcabit). Autorzy badania całość kwitują tak: This was not…

Zgłoszona w lutym tego roku podatność zostaje przez 5 miesięcy niezałatana. Całość sprowadza się do podobnego problemu jak tegoroczna kompromitacja Nissana Leaf – mając VIN ofiary atakujący może go przydzielić do swojego konta (wykorzystany jest tu błąd aplikacji umożliwiający obejście mechanizmu walidującego VIN) – a następnie zdalnie sterować pewnymi funkcjami samochodu. Co…

Tak przynajmniej sugeruje wczorajszy wpis Arstechniki, który mówi o niedawno uchwalonej ustawie antyterrorystycznej, dającej polskim służbom mocne argumenty do tajnej inwigilacji i kontroli cudzoziemców (bez wyroku sądu).  Dokładniej mówi o tym Art 9. Ustawy: >>W celu rozpoznawania, zapobiegania lub zwalczania przestępstw o charakterze terrorystycznym Szef ABW może zarządzić wobec osoby niebędącej…

Na oficjalnym blogu Google pojawiła się informacja o dodaniu do obsługi HTTPS w Chrome algorytmu Ring Learning With Errors. Wszystko to jako eksperyment służący przetestowaniu rozwiązania chroniącego przed łamaniem komunikacji z wykorzystaniem komputerów kwantowych. Popularne algorytmy typu Diffie-Hellmann czy RSA mają pewne słabości jeśli chodzi o łamanie kwantowe, w przeciwieństwie do właśnie…

Nowe gadgety – nowe ataki. Tym razem w pracy zatytułowanej: „Friend or Foe?: Your Wearable Devices Reveal Your Personal PIN” badacze pokazali jak analizując dane z czujników ruchu na urządzeniach typu smartwatch można z 90% prawdopodobieństwem zgadnąć PIN wpisywany do bankomatu. Przygotowany algorytm umożliwia taką skuteczność po max 3 próbach wpisania…

Nowe prawo w Bułgarii, które mówi że każdy nowo tworzony software dla instytucji rządowych musi być dostępny na zasadach open source: Dalej, autor wpisu zaznacza, że jednym z plusów takiego rozwiązania jest też walka z security by obscurity oraz często spotykaną sytuacją że systemy rządowe pozostają podatne bo… skończył się support….

Liczne serwisy publikują informację o dostępnej publicznie bazie z wycieku z MySpace. Całość to przeszło 16 GB danych, choć chwilę trzeba poczekać z dostępem do całości – obecnie strona gdzie linkowana jest baza przestała działać (co nie dziwi…). Baza jest zaszyfrowana, ale cytowany wyżej TheCthulhu publikuje hasło na Twitterze: –ms

Hashcat, dostępny od jakiegoś czasu w modelu OpenSource, został dzisiaj udostępniony w wersji 3.0. Zmiany przynoszą między innymi scalenie w jedno narzędzie obsługi krak^H^H^H^H odzyskiwania haseł na CPU i GPU, czy obsługę nowych algorytmów: Keepass 1 (AES/Twofish) and Keepass 2 (AES) VeraCrypt RAR5 WinZip Android FDE (Samsung DEK) ArubaOS Kerberos…

Udostępniono właśnie kolejną wersję znanego standardu dotyczącego zabezpieczenia i testowania aplikacji webowych OWASP ASVS. Wersja 3.0.1 w porównaniu z 3.0 dodaje przeszło 20 nowych sprawdzeń / zaleceń – nie wydaje się to być zatem całkiem kosmetyczna zmiana, na jaką wskazuje niewielka różnica w numeracji. Dokument jest do pobrania ze strony…

Miniaturyzacja pełną gębą – wstrzykiwalna kamera o długości 120 mikrometrów. Całość może mieć oczywiste zastosowanie medyczne;  jak piszą badacze: The „imaging system” fits comfortably inside a standard syringe needle, said the team, allowing for delivery into a human organ, or even the brain. Temat może też budzić pewne podejrzenia odnośnie…

TL;DR: Wystarczyło wysłanie skanu sfałszowanego paszportu (nic się nie zgadza poza nazwiskiem ofiary) aby pracownicy Facebooka zmienili numer telefonu i e-mail związany kontem: Jak wyglądało przejęcie konta posiadającego dostęp do stron mających ~1 000 000 polubień? Wystarczyło napisać krótkiego maila: Hi. I don’t have anymore access on my mobile phone number….