W biegu

Baza przeszło pół miliarda unikalnych haseł do pobrania

22 lutego 2018, 22:19 | W biegu | komentarzy 11

Troy Hunt udostępnia do pobrania bazę przeszło 500 milionów unikalnych haseł, zebranych aż z przeszło 3 miliardów rekordów(!). Troy udostępnia zbiór głównie w celu jego zintegrowania go z funkcją ustawiania haseł w systemach / aplikacjach. Teraz łatwo będzie nie pozwolić użytkownikowi ustalić hasło, które kiedyś publicznie wyciekło. A żeby atakującym...

Czytaj dalej »

BitCoinMiner w standardowej bibliotece dostarczanej z Macbookami!? - tak twierdził Avast

22 lutego 2018, 11:58 | W biegu | 0 komentarzy

Być może część z Was została dzisiaj mocno zaniepokojona takim komunikatem: Wygląda to dość mocno Jedna ze standardowych bibliotek systemowych zakażona koparką kryptowalut?! Avast na szczęście potwierdził że jest to false positive i łata problem. Oczywiście "blokada" normalnej biblioteki systemowej to nie jest najlepsza rzecz która nas może spotkać, ale pytanie...

Czytaj dalej »

uTorrent - można sprawdzać jakie pliki pobrałeś/ściągać. Bonus - wykonanie dowolnego kodu na Twoim kompie.

21 lutego 2018, 10:00 | W biegu | komentarzy 7

Podatności nie są jeszcze do końca załatane. Problemy sprowadzają się do dostępnych na localhost usług, startowanych przez uTorrent, które de facto dostępne są bez uwierzytelnienia. Tzn. pardon, niby są: http://127.0.0.1:19575/gui/index.html?localauth=localapic3cfe21229a80938: Widzicie ten localauth? ... ale można go odzyskać (przez DNS rebinding, podobna historia była niedawno w grach Blizzarda) korzystając z nieuwierzytelnionego...

Czytaj dalej »

Kopali kryptowalutę na jednym z serwerów Tesli

20 lutego 2018, 19:09 | W biegu | komentarze 2

O fakcie donosi firma RedLock  - w tym przypadku udało się najpierw dostać do należącego do Tesli serwera Kubernetes (dostęp był bez hasła): Tam jak widzicie były dostępne klucze do instancji Amazon S3. Załoga z RedLock twierdzi, że były tam składowane dane telemetryczne (dotyczące samochodów). Sami przedstawiciele Tesli napisali z kolei, że S3...

Czytaj dalej »

Sekurak Hacking Party Kraków & Poznań

19 lutego 2018, 17:14 | W biegu | 0 komentarzy

Elementy hackowania GSM, podsłuch VoIP na żywo, proste generowanie dowolnej komunikacji sieciowej, łamiące programistów Javy demo złowrogiego wykorzystania The Spring Expression Language czy hackowanie kamer -  to tylko kilka wybranych tematów, które będziemy poruszać na naszych hacking party w Krakowie oraz w Poznaniu (zobacz szczegóły agend poniżej). Agendę + zapisy na Kraków zobacz tutaj (26.02.2018) -...

Czytaj dalej »

Runy śmierci potrafią trwale rozwalić iPhone - wystarczy wysłać wiadomość...

16 lutego 2018, 11:22 | W biegu | komentarzy 7

Lepiej zróbcie kopię zapasową swoich iPhoneów/iPadów - poprzez odczytanie na telefonie odpowiedniego ciągu znaków można doprowadzić a) do crashu konkretnej aplikacji - np. WhatsApp, Twitter oraz b) niekończącej się pętli rebootów urządzenia. Oto winowajca (podany w formie zrzutu graficznego - tak żeby nie uszkodzić Waszych telefonów): Całość działa na najnowszym...

Czytaj dalej »

Strona brytyjskiego GIODO - zhackowana. Kopała kryptowalutę

11 lutego 2018, 22:13 | W biegu | komentarze 3

ICO (Information Commissioner's Office - ico.org.uk) to brytyjski odpowiednik polskiego GIODO, a coś niepokojącego stało się z ich stroną 11 lutego (obecnie jest ona przełączona w tryb maintenance). W skrócie, okazało się że zaatakowano inną firmę (hxxps://www.texthelp.com/), z której to ICO załączało JavaScrypt. W skrypcie umieszczono koparkę kryptowaluty i od tej pory...

Czytaj dalej »

Stelaże z drewna, chłodzenie biurowymi wiatrakami - nielegalna ukraińska kopalnia kryptowalut zamknięta

10 lutego 2018, 19:29 | W biegu | komentarze 4

Trochę sensacyjny tytuł, ale popatrzcie tylko na ten film... pomieszanie nowoczesnej technologii (ułożone w rządki GPU) z tradycją (pozbijane z deszczółek stelaże) z domieszką chaosu - to palętające się kable i urządzenia niewiadomego przeznaczenia: Akcja likwidacji "tego miejsca" została zorganizowana przez Ukraińską cyberpolicję. Zarzutem jest tutaj wykorzystanie środków uniwersytetu (m.in. prądu)...

Czytaj dalej »

LibreOffice: można pobierać pliki z dysku ofiary. Wystarczy, że otworzy ona odpowiedni dokument.

10 lutego 2018, 18:26 | W biegu | komentarzy 5

Właśnie załatano podatność, wykorzystującą prostą funkcję =WEBSERVICE() LibreOffice Calc supports a WEBSERVICE function to obtain data by URL. Vulnerable versions of LibreOffice allow WEBSERVICE to take a local file URL (e.g file://) which can be used to inject local files into the spreadsheet without warning the user. W pakiecie MS...

Czytaj dalej »

Rosyjscy naukowcy atomowi próbowali kopać bitcoiny na superkomputerze

10 lutego 2018, 00:02 | W biegu | komentarze 2

W Rosji każdy orze jak może - jedni ogrzewają koparkami kryptowalut mieszkania, inni próbują kopać bitcoiny na superkomputerze służącym do badań nad bronią jądrową - tak przynajmniej donosi BBC i inne media. Rosyjska agencja Interfax potwierdza incydent, choć nie podaje wielu szczegółów (niespodzianka). Cała operacja miała mieć miejsce w mieście...

Czytaj dalej »

Sekurak Hacking Party Kraków 2/2018 - ostatnie miejsca

07 lutego 2018, 21:03 | W biegu | komentarze 2

Kolejna edycja krakowskiej edycji Sekurak Hacking Party prawdopodobnie zostanie całkiem wyprzedana. Mamy dostępnych 520 miejsc (+ mała rezerwa, którą zostawimy na absolutny last minute), z czego już 419 zostało sprzedanych (pierwsze osoby miały bilety po zaledwie ~15 zł). Trochę eksperymentujemy z formułą i tym razem cała impreza odbędzie się wcześniej...

Czytaj dalej »