To już dziewiąta edycja corocznego raportu od firmy Verizon (Data Breach Investigations Report). Tym razem przeanalizowano ~100000 incydentów bezpieczeństwa z czego 2260 to potwierdzone kradzieże danych (data breach). Kilka ciekawostek na zachętę: 1. Obecnie w kategorii data breach królują ataki webowe, które razem z atakami na POS dają aż ~60% wszystkich potwierdzonych…
Czytaj dalej »
Jeśli komunikacja jest szyfrowana za pomocą algorytmu AES-256 (ze złożonym kluczem) – to nie da się jej zdeszyfrować, prawda? No niekoniecznie, jak pokazaliśmy w ostatnim tekście na sekuraku, atak Padding Oracle umożliwia deszyfrację takiego ruchu, a w artykule Breaking Steam Client Cryptografy, pokazano jak taki atak wykonać na konkretnej implementacji. –ms
Czytaj dalej »
Szczególnie przydatne jeśli chcecie sprawdzić czy bez bólu można odszyfrować Wasze dane: –ms
Czytaj dalej »
Amerykanin podejrzany o posiadanie nielegalnej pornografii został bezterminowo uwięziony za odmowę odszyfrowania swych dysków twardych…
Czytaj dalej »
Dzisiaj (28.04) opublikowana została nowa wersja dokumentacji PCI-DSS – 3.2. Zmiany w porównaniu z 3.1 nie są takie kosmetyczne jakby się mogło wydawać: są to choćby wymagania wieloczynnikowego uwierzytelnienia dla administratorów, testy penetracyjne dwa razy do roku, czy większy nacisk na mechanizmy detekcji ataków. Na wdrożenie całości dano sporo czasu –…
Czytaj dalej »
Wydawnictwo No Starch Press ogłosiło akcję hacking humble bundle – płacisz cenę jaką wybierzesz za pakiet 4 książek, po przekroczeniu $15 masz pakiet w sumie 12 książek. Książki są bez DRMa, w formatach PDF / EPUB / MOBI. –ms
Czytaj dalej »
Jeszcze nie opadł kurz po ataku na bank w Bangladeszu (wykradziono $81 000 000), a tymczasem firma BAE Systems opublikowała raport pokazujący, że jednym z centralnych punktów ataku był malware zainstalowany w systemie obsługującym międzynarodowe przelewy. Malware był w stanie zmieniać transakcje w lokalnej bazie danych (po ich przechwyceniu) –…
Czytaj dalej »
Zapraszam na moją prezentację w temacie IoT hacking na wydarzeniu „the dragon wakes„. Całość w Krakowie w dniach 11-12 maja. Jeśli zobaczycie na prelegentów, jest to impreza dosyć wysokopoziomowa, ale edukowania w temacie security chyba nigdy za dużo. Językiem zrozumiałym (miejmy nadzieję) dla niespecjalistów, powiem trochę o hackowaniu samochodów, kamer,…
Czytaj dalej »
Praca bawarskiej elektrowni jądrowej Gundremmingen została zakłócona przez infekcję jednego z systemów komputerowych. Według pierwszych informacji incydent ten nie spowodował jednak żadnego realnego zagrożenia.
Czytaj dalej »
Alienvault udostępnił tutorial dla początkujących, opisujący budowę domowego laba do analizy malware : Building a Home Lab to Become a Malware Hunter – A Beginner’s Guide. Zainteresowanych tematem polecam też nasze dwa teksty: Szybka analiza malware oraz Analiza malware w praktyce – procedury i narzędzia. –ms
Czytaj dalej »
Ciekawy artykuł „This Battery-Free Computer Sucks Power Out Of Thin Air” opisuje w pełni działający mini-komputer nie wymagający baterii: W każdym razie razie udało się przygotować mini komputer pobierający energię ze standardowego czytnika RFID: (…) instead, it sucks in radio waves emitted from a standard, off-the-shelf RFID reader—the same technology…
Czytaj dalej »
Dla niecierpliwych – zobaczcie na skrypt poniżej wklejony przez jednego z użytkowników reddita – czy widzicie że polecenie cat nie wyświetla nic podejrzanego?! :) Możecie spróbować sami, tylko pamiętajcie żeby zamiast ^M wcisnąć Ctrl+V oraz Ctrl+M (co spowoduje dodanie w skrypcie kodu ASCII 0d (hex)). Zainteresowanym tematyką polecam też większy research w…
Czytaj dalej »
Ciekawy i pełen technicznych smaczków wpis na tajwańskim blogu – dotyczący ataku na domenę: files.fb.com Autorowi udało się znaleźć w sumie 7 podatności, w tym 2 x zdalne wykonanie kodu – w tym jedno przez nieuwierzytelniony SQL injection: Analizując dalej system (w celu zgłoszenia całości do programu bug bounty), Tajwańczyk…
Czytaj dalej »
Pisaliśmy niedawno o udanej akcji zaatakowania banku centralnego Bangladeszu, skąd wykradziono $81 000 000 (a niewiele brakowało do wyczyszczenia kont na kwotę $1 000 000 000). Tym razem Reuters donosi, że do hacku przyczynił się fakt braku urządzeń typu firewall w banku, a także podłączenie komputerów do globalnego systemu przelewów SWIFT,…
Czytaj dalej »
Niedawno informowaliśmy, że FBI poradziło sobie z iPhone’em z San Bernardino bez pomocy Apple. Uzyskanie potrzebnych na tę okazję środków technicznych kosztowało jednak amerykańskiego podatnika co najmniej 1,3 miliona dolarów…
Czytaj dalej »
