W biegu

TL;DR: Wystarczyło wysłanie skanu sfałszowanego paszportu (nic się nie zgadza poza nazwiskiem ofiary) aby pracownicy Facebooka zmienili numer telefonu i e-mail związany kontem: Jak wyglądało przejęcie konta posiadającego dostęp do stron mających ~1 000 000 polubień? Wystarczyło napisać krótkiego maila: Hi. I don’t have anymore access on my mobile phone number….

O bardziej finezyjnych metodach otwierania zamków pisaliśmy jakiś czas temu… Ale można i tak: [youtube_sc url=”https://youtu.be/RBzJdBbFaPc”] –ms

Pamiętacie historię sprzed paru miesięcy gdzie opisywaliśmy jak pewien badacz “ukradł” skimmer z bankomatu i go poddał analizie? Tym razem Ben Tedesco z firmy Carbon Black przebywając na wakacjach w Wiedniu znalazł taki oto przypadek: Wygląda mało podejrzanie? Otóż niekoniecznie: Całość na filmie poniżej: [youtube_sc url=”https://youtu.be/ll4f0Wim4pM”] –ms

Tematem przewodnim nowego wydania „Programisty” jest kontrola integralności. Jak można zabezpieczyć się przed użytkownikami, którzy będą chcieli samodzielnie zrobić „upgrade” naszego programu w taki sposób, aby przestał on wymagać podania kodu licencyjnego? W tytułowym artykule tego wydania Michał “Z” Żuberek w miarę przystępny sposób wyjaśnia podstawowe techniki utrudniające crackowanie. Wokół…

Tak mniej więcej zatytułowali swoje badanie Portugalczycy, którzy w ramach oficjalnego programu bug bounty Ubera zgarnęli $18 000. Spośród 6 zgłoszonych błędów najciekawsze wydają się chyba te: Możliwość uzyskania e-maila użytkownika znając jego numer telefonu. Krok pośredni to poznanie tzw. UUID użytkownika (co przydaje się również w kolejnym bugu z poznaniem…

TrendMicro raportuje o wykryciu rodziny malware okrzykniętej zbiorczo “Bezbożnikiem” (ang. Godless). TL;DR: najnowsza odmiana zaczyna rootować urządzenie po zablokowaniu ekranu przez użytkownika, później dociąga złośliwy kod i finalnie daje zdalny dostęp na roota. Jak pisze Veo Zhang: By having multiple exploits to use, Godless can target virtually any Android device…

Czas na autopromocję… ale sami trochę zmusiliście nas do tego ;-)) W każdym razie otrzymałem informację od organizatorów Mistrzostw Polski w Testowaniu Oprogramowania, że moja prezentacja (“testy bezpieczeństwa – teoria a praktyka”) otrzymała najlepszą notę w ankietach uczestników:  4.75/5 (gdzie: 5-super, 4-dobrze, 3-tak sobie, 2-słabo, 1-do niczego). Oceniający komentowali ją np. tak:…

Jak co miesiąc, w ramach patronatu, kilka informacji o Linux Magazine.  Artykuł wiodący czerwcowego wydania „Linux Magazine” na temat edukacyjnych dystrybucji Linuksa omawia systemy Sugar, Uberstudent, Edubuntu, Debian Edu, openSUSE Edu Life i UCS@School, których twórcy odpowiadają na potrzeby nauczycieli. Na dołączonym DVD znajduje się Tails 2.3 zapewniający anonimowość i…

Bunt maszyn? Na razie chyba jedynie ciekawostka. W każdym razie Rosjanie promują – nomen omen – promo bota, jako nie wymagającego przerw w pracy, nie chorującego, nie otrzymującego pensji ani nie wymagającego specjalnego ubrania…: Jak się też okazuje, promo-bot swój rozum ma i niewolnikiem bez pensji nie będzie ;) niedawno…

Bez komputera można przeżyć ;) ale bez telewizora? Dla tych którzy tak twierdzą, przygotowano specjalną odmianę malware FLocker, który poza normalnymi urządzeniami mobilnymi, potrafi atakować również telewizory: Całość bazuje wprawdzie na prostym schemacie (sam telewizor musi być postawionym na Androidzie), ale strach pomyśleć co się stanie kiedy choćby inteligentne domy staną…

Wczoraj sypnęło podatnościami oznaczonymi parą: Critical / RCE (zdalne wykonanie kodu) w: IE, Edge, Microsoft Office, … z dokładką w postaci kilku problemów związanych z eskalacją uprawnień (np. w obsłudze WPAD). Tym razem jednak sprawa wygląda na bardziej skomplikowaną – w część podatności zamieszany jest chiński badacz, Yang Yu, który…

Interesujący opis PhotoMinera – agresywnego robaka posiadającego m.in. funkcję kopania kryptowauty. Robak atakuje najpierw serwery ftp ze słabymi hasłami, następnie infekuje ewentualne strony webowe dostępne na zaatakowanej maszynie, które z kolei zaczynają serwować malware odwiedzającym. Jednocześnie malware zaczyna kopać kryptowalutę i … infekować kolejne serwery ftp. Próby infekcji następują również…

Ciekawe badanie z tego roku. Po ISIS, to nie choroby, problemy ekonomiczne, uchodźcy czy globalne ocieplenie spędzają sen z powiek Amerykanom. Na drugim miejscu w kategorii Major threat są cyberataki ze strony obcych państw. –ms

Do tej pory było to morze, ląd, przestrzeń powietrzna; czwartym oficjalnym obszarem operacji (war domain) staje się cyber. Dajmy głos sekretarzowi generalnemu NATO: On Tuesday, Stoltenberg said that cyber must be a war domain, much like air, land and sea. He said the decision means that NATO will coordinate and…

Napad w biały dzień, z użyciem… t-shirtów noszonych przez pracowników w oficjalnych sklepach Apple. Po prostu weszli do zatłoczonego sklepu, bez żadnych problemów udali się na zaplecze, skąd wynieśli pod kurtkami iPhone-y za $16 000. Policja nie ujęła jeszcze sprawców, ale publikuje zdjęcia z monitoringu: –ms