W biegu

Google wreszcie wymusza na producentach telefonów regularne udostępnianie łat bezpieczeństwa

25 października 2018, 12:42 | W biegu | komentarze 4

Łatanie systemów to pięta achillesowa środowiska androidowego. Sam Google bezpieczeństwo traktuje poważnie – choć by wypuszczając regularnie co miesiąc kolejną paczkę łat. Co ciekawe z krytycznych podatności, które pozwalają na wykonanie dowolnego kodu na telefonie (będąc w pobliżu lub przesyłając do ofiary odpowiedni plik multimedialny) – nikt już nie robi…

Czytaj dalej »

Implant party w Szwecji – podajesz komuś rękę i nie masz kasy ;-)

25 października 2018, 11:20 | W biegu | komentarzy 10

Projekt jest na razie chyba eksperymentalny – zachipowanych jest na razie ponad 4 000 Szwedów. Chip umieszczany jest na kciuku i może służyć do wielu różnych pożytecznych rzeczy jak: otwieranie drzwi, przechowywanie biletów (również na pociąg), przechowywanie profili z serwisów społecznościowych…: The chips are designed to speed up users’ daily…

Czytaj dalej »

Advanced Threat Summit – konferencja w Warszawie

24 października 2018, 12:42 | W biegu | 1 komentarz

Sekurak jest patronem medialnym tego wydarzenia, zapraszamy do zapisów (na hasło Sekurak 10% rabatu :-) po wcześniejszym zerknięciu na agendę. Opis wydarzenia od organizatorów: Uczestnicy poprzednich edycji Advanced Threat Summit mogli się przekonać, że warszawski event to niespotykana na rynku konferencyjnym dawka wiedzy o najnowszych trendach z dziedziny bezpieczeństwa IT. Tegoroczne…

Czytaj dalej »

Mozilla testuje automatyczne włączanie VPN w Firefoksie

23 października 2018, 13:27 | W biegu | 0 komentarzy

Jesteś podłączony do niezabezpieczonej sieci WiFI, może lepiej szyfrować całą swoją komunikację? Tego typu automatyczne rekomendacje (plus uruchomienie VPN-a prawdopodobnie testuje właśnie Mozilla: Jak widzicie, może to być współpraca z ProtonVPN. Zbyt piękne żeby było prawdziwe? No więc jest też duży (ale chyba nieodłączny) minus całego pomysłu, usługa ma być sprzedawana…

Czytaj dalej »

Od stycznia 2019 około 62% serwisów w Internecie będzie bez fixów security (PHP 5.x RIP)

23 października 2018, 13:08 | W biegu | 1 komentarz

Wsparcia dla PHP w wersji 5.x nie mamy od jakiegoś czasu, ale od 2019 roku nie będą pojawiać się łaty bezpieczeństwa: Jakie mogą być tego konsekwencje? Najpoważniejszy problem to przypadek gdy pokaże się zdalnie wykorzystywana krytyczna podatność, dająca np. dostęp na poziomie systemu operacyjnego. Takie podatności (nie wymagające dodatkowych warunków)…

Czytaj dalej »

Film: bezprzewodowo kradną Teslę S. Największy problem – odczepienie kabla do ładowania

22 października 2018, 14:30 | W biegu | komentarze 3

Nie jest to jakiś zaawansowany atak związany np. z problemami kryptograficznymi. Tym razem jeden pan chodzi dookoła domu z „tabletem” (szukając dobrego sygnału z kluczyka bezprzewodowego), wzmacnia go i przesyła do telefonu drugiego złodzieja, który znajduje się blisko samochodu. Po krótkim „rekonesansie” auto się otwiera ale atakujący mają przez dłuższy…

Czytaj dalej »

Sekurak Hacking Party Gliwice – mini relacja

22 października 2018, 12:42 | W biegu | 1 komentarz

18-stego października zorganizowaliśmy pierwsze w Gliwicach Sekurak Hacking Party. Zapisało się 311 osób (przyszło około 85-90%). Z głównych tematów – mieliśmy okazję posłuchać świeżą prezentację Michała Bentkowskiego o XSS-ach (była również prezentacja nowego narzędzia, umożliwiającego np. przejęcie i interaktywną kontrolę przeglądarki znajdującej się fizycznie w intranecie (poza naszą bezpośrednią kontrolą)…

Czytaj dalej »

jQuery upload plugin – łatwy sposób na przejmowanie całych serwerów

22 października 2018, 12:26 | W biegu | 1 komentarz

Jak wiemy mechanizmy uploadu to jedno z najniebezpieczniejszych miejsc w aplikacjach. Czasem po prostu wystarczy wgrać webshella (dającego już dostęp na poziomie systemu operacyjnego), czasem trzeba się bardziej namęczyć – np. przygotowując odpowiedniego zip-a. Ten pierwszy wariant był cały czas możliwy w popularnym pluginie jQuery File Upload (podatny jest kod po…

Czytaj dalej »

W 5 minut wykradł całą bazę serwisu randkowego

20 października 2018, 11:59 | W biegu | komentarze 2

Mamy tutaj w pigułce obecny model tworzenia aplikacji mobilnych. Szybko, tanio, niebezpiecznie. Choć zaraz, o bezpieczeństwie czy niebezpieczeństwie często nikt kompletnie nie myśli. No więc: dekompilacja aplikacji (androidowa .apk), łatwe zlokalizowane backendu (firebase), i zupełnie niezabezpieczony dostęp do tej właśnie bazy: Their database is accessible by everyone… Now, I’m able…

Czytaj dalej »

Ominięcie uwierzytelnienia w części serwerowej libssh (CVE-2018-10933)

17 października 2018, 10:34 | W biegu | 0 komentarzy

Podatność „wyceniona” na 9.8/10 w skali CVSS umożliwiała na ominięcie uwierzytelnienia w banalny sposób. Zamiast wysłać komunikat: SSH2_MSG_USERAUTH_REQUEST klient wysyłał SSH2_MSG_USERAUTH_SUCCESS i … po sprawie :) Dla pewności warto podkreślić, że nie jest to błąd w OpenSSH (to zupełnie dwa różne projekty).  Do czego więc służy biblioteka libssh? Do sprawnego umożliwienia naszemu…

Czytaj dalej »

Secure 2018 – zapraszamy

17 października 2018, 10:03 | W biegu | 0 komentarzy

Konferencja SECURE to wydarzenie, które ma swoje stałe miejsce w kalendarzu najważniejszych imprez związanych z tematyką bezpieczeństwa teleinformatycznego. Stanowi wyjątkową okazję, aby posłuchać czołowych ekspertów z dziedziny bezpieczeństwa z Polski i całego świata, pogłębić wiedzę o zagrożeniach i aktualnych trendach w bezpieczeństwie, a także wziąć udział w forum wymiany doświadczeń….

Czytaj dalej »

Twoje serce połączone jest z Internetem? FDA ostrzega przez nieautoryzowanym dostępem przez sieć

16 października 2018, 14:19 | W biegu | komentarze 2

Alert został ogłoszony kilka dni temu. Tym razem problematyczne okazały się kardiosymulatory (en. pacemakers), czyli urządzenia wszczepiane do ciała pacjenta i stymulujące serce na rozmaite sposoby:   Bardziej konkretnie, problem jest z urządzeniami umożliwiającymi aktualizację firmware urządzeń (programatorami) – niby pobieranie może być zrealizowane tylko przez VPN, ale programatory tego nie…

Czytaj dalej »

Zhackował maszynę do napojów – nieskończona liczba kredytów

16 października 2018, 13:50 | W biegu | komentarze 3

TLDR: appka mobilna umożliwiająca płatność NFC przechowywała liczbę kredytów w lokalnej bazie SQLite. Baza oczywiście była zaszyfrowana (:P), ale po krótkiej analizie okazało się że jest to numer IMEI telefonu. Po zdeszyfrowaniu była już pełna kontrola nad kontem: Firma tworząca system została poinformowana o problemie. A wnioski mamy tu cztery:…

Czytaj dalej »

Hacking party Gliwice – ostatnie chwile na zapisy

15 października 2018, 19:36 | W biegu | komentarze 4

Obecnie na hacking party Gliwice mamy zapisanych już przeszło 250 osób. Tutaj można znaleźć jeszcze trochę ostatnich biletów w super cenie < 20PLN. Impreza jest otwarta dla każdego chętnego – nie trzeba być super specem od security – prezentacje będą z jednej strony na dość podstawowym poziomie, a z drugiej…

Czytaj dalej »