W biegu

Udostępniono właśnie kolejną wersję znanego standardu dotyczącego zabezpieczenia i testowania aplikacji webowych OWASP ASVS. Wersja 3.0.1 w porównaniu z 3.0 dodaje przeszło 20 nowych sprawdzeń / zaleceń – nie wydaje się to być zatem całkiem kosmetyczna zmiana, na jaką wskazuje niewielka różnica w numeracji. Dokument jest do pobrania ze strony…

Miniaturyzacja pełną gębą – wstrzykiwalna kamera o długości 120 mikrometrów. Całość może mieć oczywiste zastosowanie medyczne;  jak piszą badacze: The „imaging system” fits comfortably inside a standard syringe needle, said the team, allowing for delivery into a human organ, or even the brain. Temat może też budzić pewne podejrzenia odnośnie…

TL;DR: Wystarczyło wysłanie skanu sfałszowanego paszportu (nic się nie zgadza poza nazwiskiem ofiary) aby pracownicy Facebooka zmienili numer telefonu i e-mail związany kontem: Jak wyglądało przejęcie konta posiadającego dostęp do stron mających ~1 000 000 polubień? Wystarczyło napisać krótkiego maila: Hi. I don’t have anymore access on my mobile phone number….

O bardziej finezyjnych metodach otwierania zamków pisaliśmy jakiś czas temu… Ale można i tak: –ms

Pamiętacie historię sprzed paru miesięcy gdzie opisywaliśmy jak pewien badacz „ukradł” skimmer z bankomatu i go poddał analizie? Tym razem Ben Tedesco z firmy Carbon Black przebywając na wakacjach w Wiedniu znalazł taki oto przypadek: Wygląda mało podejrzanie? Otóż niekoniecznie: Całość na filmie poniżej: –ms

Tematem przewodnim nowego wydania „Programisty” jest kontrola integralności. Jak można zabezpieczyć się przed użytkownikami, którzy będą chcieli samodzielnie zrobić „upgrade” naszego programu w taki sposób, aby przestał on wymagać podania kodu licencyjnego? W tytułowym artykule tego wydania Michał „Z” Żuberek w miarę przystępny sposób wyjaśnia podstawowe techniki utrudniające crackowanie. Wokół…

Tak mniej więcej zatytułowali swoje badanie Portugalczycy, którzy w ramach oficjalnego programu bug bounty Ubera zgarnęli $18 000. Spośród 6 zgłoszonych błędów najciekawsze wydają się chyba te: Możliwość uzyskania e-maila użytkownika znając jego numer telefonu. Krok pośredni to poznanie tzw. UUID użytkownika (co przydaje się również w kolejnym bugu z poznaniem…

TrendMicro raportuje o wykryciu rodziny malware okrzykniętej zbiorczo „Bezbożnikiem” (ang. Godless). TL;DR: najnowsza odmiana zaczyna rootować urządzenie po zablokowaniu ekranu przez użytkownika, później dociąga złośliwy kod i finalnie daje zdalny dostęp na roota. Jak pisze Veo Zhang: By having multiple exploits to use, Godless can target virtually any Android device…

Czas na autopromocję… ale sami trochę zmusiliście nas do tego ;-)) W każdym razie otrzymałem informację od organizatorów Mistrzostw Polski w Testowaniu Oprogramowania, że moja prezentacja („testy bezpieczeństwa – teoria a praktyka”) otrzymała najlepszą notę w ankietach uczestników:  4.75/5 (gdzie: 5-super, 4-dobrze, 3-tak sobie, 2-słabo, 1-do niczego). Oceniający komentowali ją np. tak:…

Jak co miesiąc, w ramach patronatu, kilka informacji o Linux Magazine.  Artykuł wiodący czerwcowego wydania „Linux Magazine” na temat edukacyjnych dystrybucji Linuksa omawia systemy Sugar, Uberstudent, Edubuntu, Debian Edu, openSUSE Edu Life i UCS@School, których twórcy odpowiadają na potrzeby nauczycieli. Na dołączonym DVD znajduje się Tails 2.3 zapewniający anonimowość i…

Bunt maszyn? Na razie chyba jedynie ciekawostka. W każdym razie Rosjanie promują – nomen omen – promo bota, jako nie wymagającego przerw w pracy, nie chorującego, nie otrzymującego pensji ani nie wymagającego specjalnego ubrania…: Jak się też okazuje, promo-bot swój rozum ma i niewolnikiem bez pensji nie będzie ;) niedawno…

Bez komputera można przeżyć ;) ale bez telewizora? Dla tych którzy tak twierdzą, przygotowano specjalną odmianę malware FLocker, który poza normalnymi urządzeniami mobilnymi, potrafi atakować również telewizory: Całość bazuje wprawdzie na prostym schemacie (sam telewizor musi być postawionym na Androidzie), ale strach pomyśleć co się stanie kiedy choćby inteligentne domy staną…

Wczoraj sypnęło podatnościami oznaczonymi parą: Critical / RCE (zdalne wykonanie kodu) w: IE, Edge, Microsoft Office, … z dokładką w postaci kilku problemów związanych z eskalacją uprawnień (np. w obsłudze WPAD). Tym razem jednak sprawa wygląda na bardziej skomplikowaną – w część podatności zamieszany jest chiński badacz, Yang Yu, który…

Interesujący opis PhotoMinera – agresywnego robaka posiadającego m.in. funkcję kopania kryptowauty. Robak atakuje najpierw serwery ftp ze słabymi hasłami, następnie infekuje ewentualne strony webowe dostępne na zaatakowanej maszynie, które z kolei zaczynają serwować malware odwiedzającym. Jednocześnie malware zaczyna kopać kryptowalutę i … infekować kolejne serwery ftp. Próby infekcji następują również…

Ciekawe badanie z tego roku. Po ISIS, to nie choroby, problemy ekonomiczne, uchodźcy czy globalne ocieplenie spędzają sen z powiek Amerykanom. Na drugim miejscu w kategorii Major threat są cyberataki ze strony obcych państw. –ms