W biegu

Ktoś wysłał SMS-y podszywając się pod alert Rządowego Centrum Bezpieczeństwa!

27 listopada 2018, 17:08 | W biegu | komentarzy 7

Rządowe Centrum Bezpieczeństwa wysyła SMS-owo informacje do obywateli na terenie Polski. Może być to cały kraj, może być tylko konkretny obszar. Jak czytamy tutaj: Alert RCB będzie rozsyłany do abonentów telefonów komórkowych na zagrożone tereny przez cały rok. Można się go spodziewać o każdej porze dnia i nocy, bez względu…

Czytaj dalej »

Czy kłódka obok adresu https coś znaczy? Tak, że może być to phishing…

27 listopada 2018, 13:06 | W biegu | komentarzy 19

Tym przewrotnym tytułem nawiązuję do panującego od wielu lat mitu, pojawiającego się również w rozmaitych reklamach: masz certyfikat SSL, a twój serwis ma kłódkę przy adresie – jesteś bezpieczny!!! Co ciekawe, bardzo dużo serwisów z których wykradano hasła, właśnie miało HTTPS i kłódkę – po prostu napastnicy wykorzystywali odpowiednią podatność…

Czytaj dalej »

Niemiecka agencja rządowa publikuje wymagania bezpieczeństwa dla domowych routerów. Można uzyskać oznaczenie „bezpieczny router”

26 listopada 2018, 22:18 | W biegu | komentarze 3

Dość szczegółowy dokument można pobrać tutaj. Znajdziemy tutaj m.in wymagania dotyczące: ustawień firewalla (np. jakie usługi nie mogą być dostępne na zewnątrz), minimalnych wymagań dla haseł czy wymaganej dostępności WPA2. W dokumencie są też opisane elementy związane z DNS (łącznie z takimi szczegółami jak kwestia odporności na atak DNS rebinding)…

Czytaj dalej »

NPM: zbackdoorowano pakiet mający 2 000 000 pobrań tygodniowo

26 listopada 2018, 21:47 | W biegu | 0 komentarzy

Chodzi o event-stream, a szczegóły dostępne są tutaj. Dodany, złośliwy kod stara się wykradać kryptowalutę(y) z portfeli użytkowników – prawdopodobnie żeby kod zadziałał musi być dołączony właśnie do projektu, który realizuje tego typu operacje. Jak doszło do infekcji? Poprzedni zarządzający repozytorium odpowiada z rozbrajającą szczerością: he emailed me and said…

Czytaj dalej »

Przejął ofierze numer telefonu i ukradł $1 000 000 w kryptowalucie. Ofiara: „zbierałem na szkołę dla córek”.

24 listopada 2018, 15:51 | W biegu | komentarzy 10

Technika SIM swap znana jest od jakiegoś czasu. W największym skrócie polega na przekonaniu operatora GSM aby to mi aktywował kartę SIM, która rzekomo została zagubiona / zniszczona przez ofiarę. W przypadku sukcesu, ofiara „nagle” traci sygnał GSM i często jest już dla niej za późno. Atakujący w  ten sposób…

Czytaj dalej »

Wyciekły dane osobowe Jarosława Kaczyńskiego

23 listopada 2018, 13:13 | W biegu | komentarze 22

Od tematów telewizyjnych zazwyczaj staramy się stronić, ale tym razem warta odnotowania „ciekawostka”. Jak donosi gazeta.pl –  Jarosław Kaczyński i Lech Wałęsa spotkali się wczoraj w sądzie. Ot dzień jak co dzień ;) Może nieco nietypowym faktem jest dość dokładne przeskanowanie „pola bitwy” przez kamerę TVN 24. Jak donosi „Gazeta”:…

Czytaj dalej »

Dziesiątki podatności, super jasno przekazana wiedza – pdf/mobi/epub – ziny sekuraka

23 listopada 2018, 12:51 | W biegu | 0 komentarzy

Przypominamy, o naszym bezpłatnym projekcie sekurakowych zinów – to wyselekcjonowane / zaktualizowane teksty z sekuraka, podane w wygodnej formie. Wszystko możliwe do pobrania bezpłatnie i bez rejestracji: Czwarty numer Trzeci numer Drugi numer Pierwszy numer A gdzie piąty numer? Cały czas pracujemy nad papierową książką sekuraka – o bezpieczeństwie aplikacji…

Czytaj dalej »

Eksploitowy konkurs w Chinach – zdemolowali wszystko, całościowa wypłata: $1 000 000

23 listopada 2018, 12:19 | W biegu | komentarzy 7

Zobaczcie na to mniej znane wydarzenie.  Mieliśmy tu przykład przejęcia w pełni załatanego iPhone X (podatność w domyślnej przeglądarce Safari, a później błąd w kernelu dający pełne wykonanie kodu jako root), jest też kilka rzeczy w VMWare Workstation / Fusion (wyskoczenie z maszyny wirtualnej do głównego hosta – tutaj jest…

Czytaj dalej »

Amerykańska poczta dziurawa jak szwajcarski ser. Przez API można było czytać / zmieniać dane 60 milionów użytkowników

21 listopada 2018, 22:17 | W biegu | komentarze 4

Opis małej afery tutaj. Ciekawym jest fakt, że badacz poinformował USPS o problemie przeszło rok temu, ale nie doczekał się odpowiedzi. Poszedł więc do Briana Krebsa, który rozkręcił aferę. W API mieliśmy względnie klasyczne błędy autoryzacyjne, umożliwiające na dostęp do danych innych klientów: In addition to exposing near real-time data about packages…

Czytaj dalej »

Shodan dożywotnio za $5

21 listopada 2018, 18:00 | W biegu | komentarze 3

Zgodnie z coroczną już tradycją, dożywotnie konto na Shodanie dostępne będzie do kupienia w ramach akcji black friday. Okno zakupu będzie trwało od najbliższego piątku do poniedziałku. Czym jest Shodan? To jedno z popularniejszych narzędzi umożliwiających na szybki i realizowany w prosty sposób rekonesans sieciowy. Więcej szczegółów i przypadki użycia…

Czytaj dalej »

Chcecie zobaczyć w jakich ilościach trackują Was appki na Androidzie, spróbujcie Exodus Privacy

19 listopada 2018, 16:14 | W biegu | komentarze 3

Aplikacja nie wymaga roota i pokazuje nam zarówno uprawnienia jakich wymagają zainstalowane aplikacje ale również liczbę elementów trackujących: W jaki sposób można to zrealizować na niezrootowanym urządzeniu? Aplikacje analizowane są po stronie serwerowej (w infrastrukturze Exodusa), a na telefonie mamy matchowanie zainstalowanych aplikacji z główną bazą. Jeśli znacie podobne projekty –…

Czytaj dalej »