W biegu

Amerykańska Federalna Komisja Handlu oskarżyła niedawno twórcę popularnej (dziesiątki milionów pobrań) aplikacji Brightest Flashlight o nieautoryzowane pobieranie wrażliwych danych użytkowników.

Właśnie została opublikowana wersja 1.00 narzędzia hashcat działającego na GPU i służącego do odzyskiwania zagubionych haseł (inna nazwa: łamanie haseł ;-)

Część z naszych czytelników pytała się o dostęp do RSS całości treści sekuraka (czyli tego co ląduje na stronie głównej + działu w biegu). Od dzisiaj mamy dwa RSSy do wyboru.

Pewien pentester z Australii postanowił ostatnio poświęcić dwie chwile na przetestowanie bezpieczeństwa systemów Prezi (dość popularne narzędzie do służące do tworzenia dynamicznych prezentacji).

W październiku crackerzy udostępnili bazę danych klientów Adobe. Pół roku wcześniej, podobną wpadkę zaliczyli twórcy programu Evernote, chociaż w tym przypadku przynajmniej nie doszło do publikacji danych. Obie te sytuacje są również wzorcowym przykładem, jak nie informować klientów o incydentach bezpieczeństwa. Okazuje się jednak, że jedna z firm zaczyna powoli uczyć się na błędach.

Ciekawy i zwięzły przewodnik – jak w kilka(naście) minut skonfigurować na web serwerze uwierzytelnianie certyfikatem klienckim SSL. –ms

Niedawno bez większych fanfarów ogłoszono End-of-Life popularnej biblioteki Apache Struts 1. Co to oznacza? Na przykład brak aktualizacji bezpieczeństwa w Struts1: Given a major security problem or a serious bug is reported for Struts 1 in near future, can we expect a new release with fixes? As of now, actually…

Oren Hafif odnalazł i zaraportował firmie Google ciekawe podatności obecne m.in. w mechanizmie odzyskiwania konta Google. Przy ich zręcznym wykorzystaniu oraz dodaniu szczypty skutecznej socjotechniki, możliwe było przejęcie dowolnego konta Google…

Jak poinformował dziś serwis KrebsOnSecurity, z serwisów randkowych grupy Cupid Media wykradziono dane 42 milionów użytkowników, w tym hasła zapisane jawnym tekstem…

Symantec opublikował analizę interesującego linuksowego backdoora, który był w stanie skutecznie kamuflować swą obecność oraz komunikację nawet w systemach o restrykcyjnej kontroli bezpieczeństwa.

Pod tym adresem można odnaleźć całkiem sporą kolekcję rozmaitych słowników przydatnych w trakcie testowania lub odzyskiwania najróżniejszych haseł. Przy okazji warto przypomnieć również projekt CrackStation, o którym już wspominaliśmy.

W ramach konkursu mobile Pwn2Own pokazano właśnie 0-day na najnowszą przeglądarkę chrome (wersja na Androidzie). Proof of Concept (czyli właśnie wykonanie kodu) pokazano na urządzeniach: Nexus 4 oraz Samsung Galaxy S4 (ofiara wystarczy, że wejdzie na odpowiednio przygotowaną stronę). Autor znaleziska w ramach nagrody zainkasował $50.000, a jak też czytamy…

W microsoftowych archiwach można natrafić na ciekawy artykuł pomocy technicznej dotyczący nietypowego komunikatu o wymaganej minimalnej długości hasła…

Organizatorzy konferencji Secure (NASK+CERT Polska) poinformowali na swoim facebookowym profilu o najlepszej wg uczestników prezentacji. Ku naszemu pewnemu zaskoczeniu, najlepszą prezentacją okazała się prelekcja sekurakowa :] Sami organizatorzy piszą tak: Najlepiej ocenioną przez uczestników prezentacją okazały się “Wybrane ataki na urządzenia sieciowe” Michała Sajdaka z sekurak.pl. Michał bezapelacyjnie wygrał w…

Krótki, ale treściwy post o rozpakowywaniu oprogramowania firmware. Głównie z wykorzystaniem narzędzia binwalk, ale nie tylko.