W biegu

Raport Roberta Muellera dostępny jest tutaj (część pierwsza; ewentualnie w nieco ładniejszej formie tutaj). Nie będziemy recenzować całego kilkusetstronicowego dokumentu, choć na pewno warto zwrócić uwagę na często dość proste / tanie do przeprowadzenia ataki typu SQL injection: By at least the summer of 2016, GRU officers sought access to state and…

Jeden z czytelników podesłał nam tę informację. To notatka po spotkaniu przedstawicieli grupy G7, w której mowa jest o walce z terroryzmem. Czytamy tu m.in: Encourage Internet companies to establish lawful access solutions for their products and services, including data that is encrypted, for law enforcement and competent authorities to…

Straty których doznały banki w wyniku działalności grupy są szacowane na nawet miliard USD. Tymczasem okazało się, że już w 2017 roki ktoś z rosyjskiego adresu IP, zuploadował kody źródłowe (+ trochę dodatkowych narzędzi) na Virustotal. Archiwa rar dostępne są tutaj: pierwsza część, druga część. Sam kod źródłowy  to około…

Nokia wydała niedawno aktualizację oprogramowania (v4.22) mającą na celu usprawnić działanie zintegrowanego z ekranem czytnika linii papilarnych. Tymczasem jeden użytkownik zauważył coś dziwnego. Można odblokować jego telefon palcem zupełnie innej osoby lub nawet paczką gumy do żucia: Video of the fingerprint sensor unlocking phone with a packet of chewing gum…

Podłączasz telefon do samochodu (Bluetoothem) i chcesz słuchać ulubionych podcastów. Wszystko jest OK do momentu gdy w tytule nie ma znaku %. Nie każdy też procent rebootuje system audio: zidentyfikowani winowajcy to np. %n %N %In (a pierwszym PoC-em był normalny podcast: 99% Invisible). Najprawdopodobniej jest to podatność typu format…

Te wszystkie rzeczy na naszym zaktualizowanym szkoleniu z bezpieczeństwa API REST (prezentacja ma już czternaste rozszerzenie; treść cały czas jest uzupełniana o aktualne problemy!). Kurs przeznaczony jest przede wszystkim dla programistów / testerów – ale z wiedzy garściami korzystają też pentesterzy. Nie będziemy Was zalewać pozytywnymi opiniami o szkoleniu –…

Lepiej uczyć się na cudzych błędach… tym razem Hacker News donosi o wycieku danych przeszło 100 milionów użytkowników z największej (natywnie) indyjskiej wyszukiwarki Justdial: Dlaczego piszemy o takim dość egzotycznym przypadku? Otóż jest tutaj jedna lekcja do zapamiętania – dostępny od 2015 roku endpoint API był starym, obecnie nieużywanym mechanizmem. Jednak…

Wygląda to na klasyczny przykład wdrażania ciekawego produktu, z nieciekawym podejściem do bezpieczeństwa (czyli żadnym). Podatny sprzęt to australijski Tic Toc Track (w cenie $150 dolarów australijskich). W skrócie, urządzenie łączy się z w zasadzie niezabezpieczonym API. Mając dowolne konto, mieliśmy jednocześnie dostęp do każdej metody API. Np. takiej pobierającej wszystkie…

Wipro zatrudnia przeszło 170 000 pracowników i działa również w Polsce. Nierzadko realizuje kontrakty o znaczeniu krytycznym dla całych krajów (np. National Grid w US czy UK). Brian Krebs relacjonuje doniesienia wielu niezależnych źródeł o hacku infrastruktury Wipro: Wipro is investigating reports that its own IT systems have been hacked…

Dla nikogo chyba dziwnym nie jest fakt, że Google zbiera informacje o lokalizacji telefonów (np. poprzez Google Maps). Może nieco bardziej zastanawiające jest to, że gigant przechowuje te dane w bazie Sensorvault, która częściowo może być (i jest) udostępniana różnym służbom. New York Times pisze o tzw. „geofence warrants”. Czyli np….

Właśnie wydano nową wersję Tomcata (w kilku liniach). Oficjalny opis potrafi postawić włosy na głowie: Important: Remote Code Execution on Windows CVE-2019-0232 Jeśli poczytamy dalej, dowiemy się że podatny jest moduł CGI (który jest domyślnie wyłączony). Konfiguracji Tomcat+CGI+Windows raczej nie będzie zbyt wiele, stąd ograniczona liczba ofiar… Jeśli z kolei…

Francuski oddział jednostki zajmującej się zwalczaniem terroryzmu w Internecie wysłał do serwisu archive.org nakaz zablokowania sporej liczby „contentu terrorystycznego”.  Mail wysłany był z domeny @europol.europa.eu, a czas na usunięcie linków dość liberalny (24h). Wg właśnie procesowanego prawa EU ma to być 1h i maksymalna kara aż 4% globalnego obrotu firmy. Problem…

Doczekaliśmy się kolejnej, już trzeciej, edycji konferencji x33fcon. I jak co roku w Gdyni na początku maja (6-7) zjadą się zespoły Red i Blue z całego świata. x33fcon to impreza międzynarodowa, w całości w języku angielskim, a my kolejny raz jesteśmy ich partnerami. Dla chętnych mamy kod zniżkowy (sekurak.Bohfu6nu), uprawniający…

Świat obiegła mrożąca krew w żyłach wiadomość: w próbce 1500 hoteli (z 54 krajów), około 67% „wycieka” m.in. dane osobowe do zewnętrznych domen: Symantec found that 67% of hotel websites are leaking guests’ booking and personal details Tekst mimo, że napisany momentami średnio (niezaszyfrowane linki („Unencrypted links”) to np. linki…

Na razie niewiele wiemy, poza tym że: 1) ambasada anulowała azyl 2) Julian został aresztowany w Londynie – jako podstawę wymieniono prośbę o ekstradycję do USA: Julian Assange has been further arrested in relation to an extradition warrant on behalf of the United States authorities. He remains in custody at…