W biegu

Kasperski pisze o zaawansowanym malware ukrytym w aplikacji Guide For Pokemon Go.  Aplikacja miała bardzo sensowne recenzje i liczbę pobrań szacowaną na 500 000 – 1 000 000: Malware finalnie rootuje telefon, używając m.in. exploita z wycieku Hacking Team. Fakt, że skanery Google-a nie wykryły aplikacji jako malware, wynika prawdopodobnie z…

Załatajcie się, albo wyłączcie całkowicie dziada (zalecane). Dla nieprzekonanych – większość z załatanych podatności to Remote Code Execution. –ms

Jutro mamy stoisko na konferencji Security Case Study (Warszawa), gdzie można na pewną część wejść bezpłatnie. Na sekurakowym stoisku będzie można dostać sporo naszych gadgetów (t-shirty, magnesy rozwal.to, smycze, naklejki sekurak.pl/rozwal.to, , długopisy / latarki burp suite) i oczywiście porozmawiać o życiu ;-) Na części komercyjnej pierwszego dnia będę prowadził prezentację o hackowaniu…

Pewnie część z Was zna już produkt USB RUBBER DUCKY – to pendrive będący w rzeczywistości klawiaturą na USB, w której można prekodować sekwencje klawiszy które zostaną wysłane po podłączeniu sprzętu do komputera: Rubber Ducky dostępny jest na rynku od długiego czasu, a teraz udostępniono zaktualizowaną wersję kodera (w pythonie) umożliwiającą „załadowanie”…

Washington Post pisze o nowym produkcie firmy Humanyze. Z pozoru to „zwykły” pracowniczy badge noszony np. na szyi. Posiada on jednak dwa mikrofony umożliwiające analizę głosu w trybie rzeczywistym czy czujniki ruchu. Ilość wypowiedzianych fraz „cholera” na minutę oznacza np. że jesteś zestresowany (czerwona lampka na komputerze szefa ;), a choćby…

Tym razem mamy podatność w libutils (poziom ryzyka Critical), co oznacza zdalne wykonanie kodu w OS na potencjalnie wiele różnych sposobów (dostarczenie przez e-mail, MMS, itd). Jest też gotowy exploit, podobno dość sprawnie działający: The provided exploit performs this on several recent Android versions for the Nexus 5x; and is both reliable…

Bez wielkich fanfarów wydano niedawno nową wersję Veracrypta, który wśród różnych fixów i usprawnień zawiera również łatkę na błąd wykryty w Truecrypcie: Fix TrueCrypt vulnerability allowing detection of hidden volumes presence (reported by Ivanov Aleksey Mikhailovich, alekc96 (at) mail dot ru) Swoją drogą to właśnie Veracrypt wydaje się być sensowną alternatywą…

Teraz sprzedawany również z opcjonalnym sprzętem: „USB Protection Shield” pozwalający przetestować killera, ale bez niszczenia komputera do którego go wpinamy. Ponoć niszczy: laptopy, PC-ty, telewizory, itp.  Używajcie tylko na własnym sprzęcie… –ms

Podatności zostały zgłoszone (i zaprezentowane) miesiąc temu, przy okazji konferencji DefCON: In this presentation we will review not only the privilege escalation vulnerabilities we found, but also demonstrate and present a detailed exploitation, overcoming all the existing mitigations in Android’s Linux kernel to run kernel-code, elevating privileges and thus gaining…

Ciekawy eksperyment – szczególnie dla naszych fanów z Wrocławia. W każdym razie…: jeden z naszych czytelników podesłał link do materiałów umieszczonych na wykop.pl dotyczących dziwnych doniesień dotyczących studentów we Wrocławiu. Ponoć jakaś firma prowadzi eksperymenty z wirtualną rzeczywistością co niektórzy łączą ze zwiększoną liczbą ataków epilepsji. Ktoś ma więcej informacji?…

Nasz mini research na TP-linkach (zobaczcie też poprzedni nieuwierzytelniony root na TP-Link Archer). Root w banalny sposób, 'Normal User’ z UID=0 (?). TP-Link właśnie poprawił i potwierdził, że to nie ficzery a bugi ;-)     –Michał Sajdak

leakedsource.com informuje o kolejnym gigantycznym wycieku danych. Tym razem blisko 100 milionów haseł (w postaci jawnej) wyciekło z jednego z największych rosyjskich portali internetowych Rambler.ru.

W USA aresztowano 27-latka, któremu postawiono zarzuty shackowania w sumie 4 serwerów należących do Linux Kernel Organization: he is alleged to have gained unauthorized access to the four servers by using the credentials of an individual associated with the Linux Kernel Organization. According to the indictment, Austin used that access…

Kilka ciekawych wpisów (z dostępnym kodem w pythonie) pokazujących jak automatycznie namierzać ciekawe zasoby w darkwebie – od mapowania kluczy publicznych ssh, przez wykorzystanie shodana, skanowanie domen .onion,  po wizualiację:   Z ciekawostek, autor przygotował też choćby skrypty w pythonie, robiące OSINT już w normalnym webie – np. wykrywające zdjęcia…

W tym numerze, z naszej strony Michał Bentkowski dzieli się tekstem o tym, jak w prosty i niedrogi sposób szybko zwiększyć bezpieczeństwo swojej aplikacji webowej. Sami wydawcy z kolei piszą tak: Jubileuszowe pięćdziesiąte wydanie „Programisty” jest wydaniem rozszerzonym, co oznacza, że w tym miesiącu znajdziecie w nim jeszcze więcej artykułów…