Błędy
mBank ostatnio nie ma dobrej passy. Testy powiadomień sprawiły, że klienci spanikowali, a bankowi padł system. Potem była afera, w której kilkuset klientów zorientowało się, że ich konta nie są ich. Jeden z nich opowiedział nam swoją historię.… Czytaj dalej
Wygląda na to, że wysłanie tysięcy przypadkowych powiadomień to nic w porównaniu z najnowszymi problemami mBanku. Dzisiaj mBank zaczął przypisywać rachunki istniejących klientów do kont klientów, którzy właśnie zakładali swoje konto.… Czytaj dalej
Czy możecie sobie wyobrazić większe cmentarzysko starych, niezaktualizowanych WordPressów niż strony WWW, które często powstały tylko na potrzeby kampanii wyborczej i to kilka lat temu? Niestety tak właśnie wygląda sytuacja.… Czytaj dalej
Ostatnio Zoom znalazł się w centrum uwagi. Nagle miliony ludzi na całym świecie zaczęły z niego intensywnie korzystać, a badacze zaczęli wykrywać różne, mniejsze lub większe podatności. Nie tylko badacze zajęli się tym tematem. … Czytaj dalej
Kryptografia jest trudna, a jej implementacja jeszcze bardziej skomplikowana, gdyż nawet subtelne błędy mogą skutkować bardzo poważnymi konsekwencjami. Nawet Microsoftowi zdarza się robić bardzo poważne w skutkach błędy.… Czytaj dalej
Facebook, Google, Intel, Snapchat, Cisco, Mozilla, Twitter, Dropbox, Uber – wszystkie te marki oferują od dawna programy bug bounty. Polskie firmy musiały dopiero do tego rozwiązania dorosnąć – a drogę przecierać będzie w naszym kraju Allegro.… Czytaj dalej
W niecały rok od ogłoszenia przez Wi-Fi Alliance standardu WPA3 badacze Mathy Vanhoef oraz Eyal Ronen przeprowadzili jego analizę i wskazali szereg słabości. Wyjaśniamy, czy jest się czego obawiać i co można z tym zrobić.… Czytaj dalej
Czy można w roku 2019 mieć na stronie dużego sklepu trywialny błąd umożliwiający pobieranie cudzych faktur i twierdzić, że stosowane zabezpieczenia nie odbiegają od standardów na innych stronach? Niestety można.… Czytaj dalej
CERT Polska pochwalił się niedawno przejęciem domeny wpad.pl. Dlaczego to takie ważne? Kto i po co 10 lat temu zarejestrował tę i wiele podobnych domen? Jak dzisiaj można wykorzystać podatność sprzed 20 lat? Dowiecie się z tego artykułu.… Czytaj dalej
Kochani, szanujmy idealistów. To ginący gatunek. Szanujmy ludzi, którzy zobaczyli ważny temat i postanowili poświęcić bardzo wiele, żeby go zrealizować. Idealistów nie brak również w kryptologii. Na przykład idealistów antysystemowych.… Czytaj dalej
A gdyby tak w środku operacji zaczął aktualizować się komputer? Lub oszalały robot medyczny poszlachtował pacjenta na kotlet siekany? To niemożliwe, prawda? Nowoczesne rozwiązania służyć mają bezpieczeństwu pacjentów i wygodzie lekarzy. Ale czy zawsze? … Czytaj dalej
Czy Foreshadow jest groźniejszy niż poprzednie luki Intela? Czy jest się czego bać? W tekście przedstawiamy zasady działania zagrożenia oraz opisujemy, jaki wpływ na wydajność ma luka L1TF.… Czytaj dalej
Firma zajmująca się handlem exploitami ujawniła dzisiaj, że w przeglądarce Tor Browser istniał bardzo poważny błąd, umożliwiający ominięcie jej wysokich ustawień bezpieczeństwa i uruchomienie kodu JavaScript mimo obecności wtyczki NoScript.… Czytaj dalej
Od 27 dni trwają regularne ataki na klientów Banku Zachodniego WBK. W sklepie Google Play publikowane są aplikacje podszywające się pod program do obsługi mobilnej bankowości elektronicznej BZWBK24 mobile. Niestety ofiar nie brakuje.… Czytaj dalej
Na konferencji Black Hat USA 2018 Ben Gras z Uniwersytetu Vrije w Amsterdamie przedstawił lukę w zabezpieczeniach procesorów Intela, nazwaną roboczo TLBleed. Jak groźny jest TLBleed dla mojego systemu i instytucji?… Czytaj dalej
Od czasu rewelacji Snowdena trwa wielki boom na bezpieczne komunikatory. Kilka z nich zyskało sporą popularność, ale jak pokazują problemy jednego z nich, nawet te dobre mogą nie ustrzec się wpadek.… Czytaj dalej
Docierają do nas sygnały o trwających właśnie atakach na switche Cisco z użyciem ujawnionego kilka dni temu błędu w usłudze Smart Install. Ktoś usuwa konfigurację urządzeń w Iranie i Rosji, ale skala ataku może lada moment wzrosnąć.… Czytaj dalej
Jeśli korzystacie z Drupala, to upewnijcie się, że zaktualizowaliście go do najnowszej wersji. Od dwóch dni znany jest błąd umożliwiający zdalne wykonanie kodu bez uwierzytelniania. Niestety tysiące polskich stron nie dokonało jeszcze aktualizacji.… Czytaj dalej
Zwieńczeniem cyklu o hakowaniu procesorów jest omówienie dwóch typów podatności nazywanych Spectre. Prezentujemy exploity, tłumaczymy sposób ich działania i wyjaśniamy, jakie kroki podjęli producenci.… Czytaj dalej
Po przebrnięciu przez podstawowe informacje na temat optymalizacji procesorów oraz sposobu działania bocznych kanałów pora na omówienie kontrowersyjnego Meltdowna. Odkrycie ataku kosztowało Intela miliony.… Czytaj dalej
Poprzedni artykuł z tej serii opisywał podstawowe optymalizacje stosowane w procesorach. Pora na zaprezentowanie kilku sztuczek, czyli obszerne wyjaśnienie, czym są i jak działają boczne kanały.… Czytaj dalej
To nie jest najlepszy dzień dla użytkowników NPM. Błąd w wersji 5.7.0 może uszkodzić wasz system operacyjny. Wygląda na to, że na skutek pomyłek twórców narzędzia do użytkowników trafiła bardzo popsuta jego wersja.… Czytaj dalej
Ujawnienie podatności Meltdown i Spectre wywołało niemałe zamieszanie. Teraz, gdy emocje opadły, pora na wyjaśnienie. O co tam właściwie chodzi? Wyjaśnimy to krok po kroku w specjalnym cyklu artykułów.… Czytaj dalej
W dobie wszechobecnych exploitów warto zastanowić się nad zabezpieczeniami. Solar Designer, założyciel inicjatywy OpenWall niedawno poinformował o pojawieniu się nowego projektu do proaktywnej ochrony systemów opartych na Linuxie.… Czytaj dalej
Kilka lat temu nad wyraz profesjonalna grupa włamywaczy wykradła z Microsoftu bazę danych, zawierającą informacje o niezałatanych błędach w systemach i aplikacjach. Informacja o tym zdarzeniu dopiero teraz wyciekła do mediów.… Czytaj dalej