W biegu

Metasploit 5 już dostępny!

12 stycznia 2019, 10:58 | W biegu | 0 komentarzy

A w nim dla każdego coś miłego. Jedną z największych zmian wydaje się być dodanie w standardzie modułu evasion omijającego antywirusy. Więcej o temacie tutaj, w tym prosty przykład pokazujący zmniejszenie skuteczności wykrywania (19/64 antywirusy -> 4/64 antywirusy): Z innych ciekawostek – jeśli ktoś nie lubi Ruby, to exploity do…

Czytaj dalej »

Chat na platformie Steam – możesz wykonać dowolny kod w OS podsyłając ofierze zwykłego linka

09 stycznia 2019, 16:51 | W biegu | 0 komentarzy

To niby zwykły XSS w kliencie chata Steam (samo rozwiązanie można zobaczyć tutaj). Czyli można wykonać JavaScript w przeglądarce ofiary. Ale czy na pewno tylko JavaScript? Wskazany wyżej błąd (krytyczność 9.3/10 w skali CVSS) umożliwiał uruchomienie absolutnie dowolnej binarki z komputera ofiary, a to wszystko po przesłaniu takiego niewinnego linka za…

Czytaj dalej »

Wpisujecie w aplikacji mobilnej poufne rzeczy? Ktoś lub coś może Wam robić zrzuty ekranowe…

05 stycznia 2019, 22:19 | W biegu | komentarze 4

A to wszystko za sprawą „niewinnej” analityki. Przecież właściciele aplikacji chcą wiedzieć kto, gdzie klika („tapie”). Taka sytuacja miała (ma?) miejsce w aplikacji mobilnej Air Canada (największego kanadyjskiego przewoźnika lotniczego). Analiza została wykonana przy okazji włamania do zasobów przewoźnika, o której byli informowani właśnie użytkownicy aplikacji mobilnej. Niby aplikacja „broni…

Czytaj dalej »

Podszywają się pod Apple tak skutecznie, że poza prawidłowym numerem iPhone-y wyświetlają również realne logo nadgryzionego jabłka

04 stycznia 2019, 19:31 | W biegu | 0 komentarzy

Brian Krebs opisuje nowy scam na użytkowników iPhone – realizowane są zautomatyzowane połączenia, z numerem źródłowym GSM ustawionym na prawidłowy numer od Apple (tzw. spoofing numeru dzwoniącego – da się to zrobić bez żadnego problemu). Problem w tym, że nawet iPhone-y nie potrafią rozróżnić realnego połączenia, od tego który ma…

Czytaj dalej »

3ve: kliknęli reklam za $29 000 000. Latami przechwytywali komunikację sieciową, stworzyli własnego ISP, …

04 stycznia 2019, 14:50 | W biegu | komentarze 3

To „dzieło” grupy 3ve (czyt. eve). Przechwycenie ruchu 1 500 000 adresów IP na przestrzeni roku – to nie może być dzieło zwykłego, nudzącego się studenta: used BGP attacks to hijack more than 1.5 million IP addresses over a 12-month span beginning in April 2017 Delikatne przygotowanie artyleryjskie ;) rozpoczęło…

Czytaj dalej »

Serwis dla hackerów: hackerone – można było wypłacać dowolną liczbę pieniędzy za „wykonanie retestu”

04 stycznia 2019, 11:52 | W biegu | komentarzy 5

Ciekawa podatność w hackerone zgłoszona za pomocą serwisu hackerone :P We wspomnianym serwisie, jeśli ktoś znalazł i zgłosił podatność, to poza standardową wypłatą może otrzymać również dodatkowe pieniądze za wykonanie retestu (tj. za sprawdzenie czy podatność została poprawnie załatana). W przypadku jednego requestu HTTP obsługującego proces, możliwe było jego ponowne…

Czytaj dalej »

Wyciekły dane niemieckich polityków – publikacja kolejnych dokumentów w formie kalendarza adwentowego

04 stycznia 2019, 11:32 | W biegu | komentarzy 5

Zestaw podawanych danych różni się w zależności od źródła, które raportuje wyciek (zapewne trwa jeszcze analiza). Dane zostały opublikowane na Twitterze w formie kalendarza adwentowego. Z wykradzionych danych wskazywane są: wewnętrzne dokumenty partyjne numery kart kredytowych kopie dokumentów ID (dowody osobiste?) numery telefonów prywatne wiadomości i listy Wśród dotkniętych co…

Czytaj dalej »

Wykonanie kodu na chipach WiFi, z których korzysta PS4, Xbox One, urządzenia serii Surface. Wszystko bez interakcji użytkownika

03 stycznia 2019, 19:03 | W biegu | komentarze 3

Ciekawa prezentacja, pokazująca jak zupełnie bez interakcji użytkownika (nie musi się on np. podłączyć do odpowiednio spreparowanej sieci) wykonać dowolny kod na komponencie WiFi (nie ma tam żadnej standardowej ochrony przed podatnościami typu buffer overflow – niespodzianka!), a później przeniknąć do głównego systemu, na którym działa urządzenie. Autor wykonał badania…

Czytaj dalej »

Używają Google do łamania googlowego reCAPTCHA (91% skuteczności)

02 stycznia 2019, 17:40 | W biegu | komentarze 3

Ostatnio pisaliśmy o rozbudowanej pracy łamiącej bardzo wiele popularnych mechanizmów CAPTCHA. Niedawno z kolei opublikowano badanie dotyczące reCAPTCHA. Pomysł na całość jest dość prosty – pobierzmy plik audio oferowany przez Google, uploadujmy go do serwisu (np. należącego do Google) rozpoznającego mowę – i wpiszmy rozwiązanie. uncaptcha2 działa wg autorów na…

Czytaj dalej »

thedarkoverlord chce opublikować poufne dokumenty dotyczące ataku w WTC (11/9): „zhackowaliśmy dwie globalne firmy ubezpieczeniowe”.

02 stycznia 2019, 17:15 | W biegu | 0 komentarzy

Na razie udostępniono 10gigabajtową próbkę dokumentów. Chodzi o dwie ogromne firmy ubezpieczeniowe Hiscox Syndicates Ltd oraz Lloyds of London: Hiscox Syndicates Ltd and Lloyds of London are some of the biggest insurers on the planet insuring everything from the smallest policies to some of the largest policies on the planet, and…

Czytaj dalej »

Polacy z Dragon Sector na pierwszym miejscu globalnego rankingu CTF

02 stycznia 2019, 12:09 | W biegu | 1 komentarz

W 2018 roku nasi rodacy zdominowali podium. Pierwsze miejsce zdobyła ekipa Dragon Sector, trzecie – p4. Warto też dodać, że w rankingu sklasyfikowanych zostało przeszło 18 000 ekip. Polacy pozostawili w tyle wiele renomowanych ekip pochodzących m.in. z Rosji, Niemiec, Francji, Stanów Zjednoczonych, Japonii, Tajwanu, Chin czy Korei Południowej.  Z kolei…

Czytaj dalej »

Czy RODO w sposób istotny zwiększyło bezpieczeństwo Twoich danych? (wynik ankiety)

31 grudnia 2018, 13:26 | W biegu | komentarze 3

Ankietę umieściliśmy na naszym facebookowym profilu, zagłosowało około 3200 osób. Wynik jest dość jednoznaczny: Tutaj warto dodać, że mamy dość świadom specyficznych czytelników. Może podobna ankieta w serwisie dla prawników dałaby odwrotny wynik? Zobaczmy na kilka ciekawych komentarzy. 1. Nieco może podkoloryzowane, ale coś w tym jest: Zmniejszyło. Wyłudzenie kredytu…

Czytaj dalej »

Co było największym problemem bezpieczeństwa IoT w 2018 roku? (OWASP Top Ten IoT)

31 grudnia 2018, 10:46 | W biegu | 0 komentarzy

Na pytanie można odpowiedzieć prosto – przeglądnijcie zestawienie poniżej. W przeciągu ostatnich lat nie mamy tutaj zbyt dużo zmian – słabe hasła (lub takie zahardcodowane, o których nawet nie wiemy), masa kiepsko skonfigurowanych usług, czy jak zwykle kiepsko rozwiązane kwestie aktualizacji: Jak też widać OWASP zajmuje się nie tylko bezpieczeństwem aplikacji…

Czytaj dalej »

Tak wygląda polska hackerka: „włamała się na konto bankowe i ukradła kilkaset złotych.”

30 grudnia 2018, 12:43 | W biegu | 1 komentarz

Poszukiwania ogłosiła policja z Gdańska, a info publikuje radio Eska: Włamała się na konto bankowe i ukradła kilkaset złotych. Policjanci poszukują kobiety, która mogła mieć związek ze sprawą. Wizerunek podejrzanej publikujemy w naszym artykule. O co dokładniej chodzi? W tekście mamy raczej dość skąpe informacje: Sprawca włamania dokonał wielu transakcji…

Czytaj dalej »

Ominęli uwierzytelnienie biometryczne sztuczną ręką z wosku (ukryta kamera w suszarce do dłoni)

29 grudnia 2018, 11:49 | W biegu | komentarze 4

Omijanie biometryki bazującej na skanie palca – to było (nawet parę razy). Były też sztuczne głowy. Teraz czas na omijanie uwierzytelnienia bazującego na układzie naczyń krwionośnych. Na warsztat zostały wzięte dwa systemy, mające wg badaczy 95% udziału na rynku. Jako konkretny przykład użycia wskazywane są m.in bankomaty w Polsce. Zresztą badacze…

Czytaj dalej »