Az evad3rs csapata kiadta a rég óta várt iOS 7 jailbreaket. Apró szépséghiba, hogy a kiadás előtt álló iOS 7.1-en már döglöttek a kihasznált hibák, emellett pedig az sem aratott osztatlan sikert a jailbreak közösségen belül, hogy kínai felhasználóknak a JB egy kínai appstore-t…

A Reuters Snowden dokumentumokra hivatkozva arról számolt be, hogy az NSA 10 millió dollárt fizetett a jelenleg az EMC részeként működő RSA Security társaságnak, hogy azok Bsafe nevű kriptográfiai könyvtárában a minden bizonnyal hátsó kaput tartalmazó Dual_EC_DRBG…

A nap agyolvasztó kutatása: a GnuPG által használt RSA kulcsok megszerezhetők, ha a támadó meghallgatja (szó szerint: mikrofonnal) egy meghatározott kriptoszövegeket éppen fejtő gép hangját. A számítógépek feszültségszabályzójának elektronikus alkatrészei rezegnek, ami nem…

Stefan Frei az NSS Labs kutatója igen érdekes fejtegetésekbe kezdett az utóbbi időben. A KrebsOnSecurity-n találtam (idő közben a Biztonságportál is nagy vonalakban beszámolt a kutatásról) meg az első tanulmányát, melyben egyebek mellett konzervatív becslés kapunk arra, hogy…

Ismét egy remek példa, hogy érdemes oda figyelni a CrySys-re, elég frankó dolgok alakulnak a környéken: A BME CrySyS !SpamAndHex nevezetű csapatának eredménye a második helyezés lett az idei iCTF versenyen résztvevő 122 csapat közül. Nagyon fontos megjegyezni, hogy ilyen jellegű…

Rambo osztotta Twitteren a hírt, miszerint jogerősen börtönre ítéltek néhány arcot, akik egy partner vállalkozástól több mint 80 milliót loptak egy kémprogram segítségével. A sztori lényegi része az SG.hu-ról:  Az elsőrendű vádlott letöltött az internetről egy…

Újabb PKI #fail Az ehavi frissítőcsomag viszonylag izgalmasra sikerült, kezdjük mindjárt azzal, hogy a Google-nél észlelték, hogy a francia ANSSI hitelesítő szolgáltató alá tartozó egyik CA a keresőóriás domainjére szóló tanúsítványt állított ki. Ahogy az érintett CA…

Egy olyan szervezetnek, ami vadászrepülőket meg önvezető autókat tervez kritikus fontosságú a vasakat működtető szoftverek megbízhatósága, melyre legjobb garanciát a formális, matematikai bizonyítás adhat. A baj az, hogy a programokt hagyományosan modellező gráfok elméletében…

Az előző packetfu postokban a layer3 és 4 magasságában mozgolódtunk, most elmaszatolunk a 2-esen is egy kicsit. Ez a post elsősorban az ethernet, és routing lehetőségeit kapirgáltuk. Az eddig leírt módszerek magasabb layereken dolgoznak, de lehet az L2-n is sumákolni. A post…

A 444-en jelent meg a hír, miszerint a gonosz Prezi nem volt hajlandó fizetni egy ügyes Google hackernek, aki kritikus hibát talált a magyar startup üdvöske rendszerében.  Mint a felelős hibabejelentést (tudom, nem ez a legjobb kifejezést) évek óta gyakorló, és a nemzetközi…

A hatalmas bizonytalansági tényezők miatt a blog hasábjain eddig nem szenteltem figyelmet a #badBIOS témának, de az elmúlt napok néhány eseménye azt hiszem, megadják keretet a téma felvezetéséhez.  A lényeg tömören annyi, hogy Dragos Ruiu, a mostanában leginkább a CanSecWest…

Csabika25 hívta fel rá a figyelmem, hogy "támadás érte" a Szellemi Tulajdon Nemzeti Hivatalát (.gov.hu), amivel kapcsoaltban megjelent néhány közlemény, meg elindult a konteógyártás (regisztráció után megtekinthető tartalom, no comment...), de megmondom őszintén, így egy…

A hét eddigi legjobb hackjét eddig Michael Ossmann és Kyle Osborn prezentálta: Bár előadásukat a BlackHaten már előadták, úgy tűnik, hogy a Toorcon bizonyult a jobb táptalajnak ennek a vérbeli hacker prezentációnak, amiben van forrasztóón, pia, nem dokumentált…

A Pwn2Own versenysorozat mobil kiadását idén a tokiói PacSec konferencián rendezték meg, ami végre az ázsiai csapatok számára is testközelbe hozta a megmérettetést, ami természetesen nem is maradt eredmények nélkül: A japán Team MBSD a Samsung Galaxy S4 telefonra…

Nyugodj Békében!

Microsoft A Microsoft ebben a hónapban megkezdi a SHA-1 üzenetpecsétet használó digitális tanúsítványok kivezetését, "elavultnak" jelölve az algoritmust a Root Certificate programban. Az algoritmus 2016-tól nem lesz efogadható. Emellett PKI-t érintő változás, hogy egy másik…

A CrySys Labor az Ukatemivel közösen elemzést készített az Adobe-tól kiszivárgott dumpban - ez jelenleg a legnagyobb nyilvános, éles rendszerből származó jelszó-adatbázis - található, magyar vonatkozású címekről. A statisztikák sajnos nem támasztják alá a…

Áron bácsi felvetésére belevágtunk egy új rendezvénysorozatba, melynek célja, hogy a snowden-i szivárogtatások fényében újra felmérjük, megismerjük a rendelkezésre álló kriptogtráfiai módszereket; számba vegyük a rendelkezésre álló eszközöket, szükség esetén…

Update: The english counterpart of this post by synapse can be found here. Az utóbbi napokban több ismerős is belefutott a MySecureZone nevű, katonai szintű e-mail titkosítást ígérő IndieGoGo kampányba, ami nem érdemelne külön posztot, ha nem honfitársaink (akik 10 másodperc alatt…

A Microsoft egy első sorban közel-keleti ileltve dél-ázsiai célpontokra vadászó támadássorozatra figyelmeztet, melyben az Office 2003-2007 verzióit illetve a Lync kommunikációs szoftvert érintő, a rendszer TIFF feldolgozójának hibáját kihasználó 0-day exploitot vetettek…

Rendezvényünket a “Hekkelésen túl is van alkalmazás-biztonság” sorozat második eseményének szánjuk. Ha az OWASP projektek szokásos hármas tagolásában gondolkodunk (break, build, defense), akkor ez a rendezvényünk újfent a builder-eket, a gyártás képviselőit szólítja meg.…

Első sorban kódelemzések alkalmával előforduló tipikus probléma, hogy különböző kriptográfiai funkciók - legyen szó akár egyszer használatos jelszavakról, munkamenet-azonosítókról vagy ne adj' isten kulcsgenerálásról - ellátására a programozók nem kriptográfiailag…

HC olvasóimtól előre is elnézést kérek, de szükségét láttam egy újságíró-kompatibilis poszt összedobásának, mielőtt a legújabb Snowden-folyást szétkenik a magyar sajtóban.  Mint kiderült, az NSA már egy ideje rácuppant minimum a Google és a Yahoo! adatközpontjait…

Aki nem homokba dugott fejjel vészelte át az elmúlt néhány napot, az biztosan értesült róla, hogy a Google feketelistázta a PHP.net-et, a figyelmeztetésről pedig hamar kiderült, hogy nem hamis pozitív: jelenleg annyit lehet tudni, hogy a támadók komprommitálták a www.php.net,…

Mivel a következő frissítőkedd még messze van, az Apple-nél meg elég sok minden történt, úgy gondoltam írok egy gyors összefoglalót a nagy keynote apropóján. Bár az Apple továbbra sem informálja túl a felhasználókat a biztonsági frissítések tartalmáról, próbáljuk meg…