W biegu

Głośny swego czasu przypadek zamknięcia serwisu bezpiecznej poczty elektronicznej Lavabit był wynikiem zainteresowania amerykańskich służb kontem „Ed_snowden@lavabit.com”.

Poniżej krótkie podsumowanie 1. dnia konkursu Pwn2Own 2016. JungHoon Lee (lokihardt): Demonstrated a successful code execution attack against Apple Safari to gain root privileges. The attack consisted of four new vulnerabilities: a use-after-free vulnerability in Safari and three additional vulnerabilities, including a heap overflow to escalate to root. This demonstration earned…

Znany szwajcarski serwis bezpiecznej poczty elektronicznej ProtonMail został właśnie udostępniony dla wszystkich zainteresowanych. Przy tej okazji wydano również aplikacje mobilne dla systemów Android oraz iOS.

Zapraszamy na tegoroczną konferencję Semafor – to już 17 marca 2016 w Warszawie. Podczas pierwszego dnia będzie można wysłuchać naszą prezentację (hacker vs. reszta świata). Z kolei na stoisku Securitum będzie można wygrać: kilka koszulek sekuraka / gadgetów z Portswigger (twórców narzędzia burp suite)  – jeśli ktoś jeszcze nie widział latarki święcącej logo…

Ile trwa montaż skimmera na sklepowym czytniku kart płatniczych? Wprawnemu złodziejowi zajmie to tylko 2 sekundy…

Reuters opisał interesującą próbę kradzieży ogromnej sumy z banku centralnego Bangladeszu. W wyniku prostego błędu (literówka w nazwie odbiorcy przelewu) zamiast blisko miliarda przestępcom udało się wyprowadzić „jedynie” 80 milionów USD…

W takich oto słowach amerykański sędzia potwierdził w swym orzeczeniu istnienie programu PRISM:

Całość okazała się niezmiernie prosta, wystarczyło znać adres e-mail lub nr telefonu podpięty pod konto ofiary: The only condition would have been for the attacker to know the telephone number or email address associated with the target’s account. Do resetu hasła na Facebooku wystarczy podanie 6 znakowego PINu (wysyłanego na…

Kolejne ransomware wyrastają jak grzyby po deszczu. Najnowszym „grzybkiem” jest Cerber, który udostępniany jest w modelu Ransomware as a Service na rosyjskich forach. Co ciekawe, podczas dostosowania tego malware do indywidualnych potrzeb kupca, możliwe jest zdefiniowanie komunikatu, który będzie odtwarzany syntezatorem mowy w momencie zaszfyrowania danych ofiary: Wśród 12 obsługiwanych przez malware…

Najnowszy numer „Linux Magazine” wydaje się wyjątkowo interesujący z naszego punktu widzenia – jest i o obronie i o ataku. Załoga „LM” pisze tak: Wiodące artykuły marcowego wydania „Linux Magazine” poświęcone są namierzaniu śladom włamań przy użyciu hostowych systemów wykrywania intruzów (HIDS) oraz konfigurowaniu bezpiecznego serwera linuksowego; na DVD znajduje się…

Było już u nas o zdalnym (tj. z wykorzystaniem radia) wykradaniu kluczy z klasycznych PC-tów. Tym razem Izraelscy naukowcy przedstawili pracę opisującą eksperyment ze smartfonami: Ze wstępu cytowanego badania: We show that elliptic-curve cryptography implementations on mobile devices are vulnerable to electromagnetic and power side-channel attacks. We demonstrate full extraction of…

Niedawno pokazano ataki na popularne javowe serwery aplikacyjne (Jboss, WebLogic, Websphere, itd), wskazując na bardziej ogólny problem – tj. z niewalidowaną deserializacją prowadzącą często do nieautoryzowanego wykonania kodu w systemie operacyjnym (problem zresztą nie dotyczy jedynie Javy). Obecnie dostępny jest nawet dodatek do popularnego narzędzia pentesterskiego burp suite, umożliwiający większą automatyzację ataków…

Wygląda na to, że Amazon dmucha na zimne i chce uniknąć problemów podobnych do tych, z którymi boryka się obecnie firma Apple.

Opublikowany został błąd w OpenSSL (Severity: High) , umożliwiający odszyfrowanie przechwyconej komunikacji zaszyfrowanej bezpiecznym protokołem TLS. Całość wymaga aby na serwerze terminującym TLS obsługiwany był też SSLv2. Istotne jest, że przechwycona sesja wcale nie musi korzystać z tego starego protokołu, wystarczy że jest on obsługiwany po stronie serwerowej. Co więcej,…

Najnowszy numer Programisty ponownie wkracza na głębokie wody algorytmiki. Na łamach prezentujemy całkiem nowy cykl zatytułowany “Algorytmy w chmurach”, którego głównym celem jest stopniowe omawianie rozwiązań specyficznych dla aplikacji rozproszonych. W tym numerze pilotażowy artykuł „gossip” – czyli o modelu propagowania informacji wzorowanym na sposobie rozchodzenia się plotek między ludźmi….