Отличный проект для автоматизации и прототипирования разного интересного 😈 https://www.crowdsupply.com/f-secure/usb-armory-mk-ii
Crowd Supply
USB armory Mk II
A tiny, open source USB computer for security applications
Ekoparty одна из старейших и наверное самых больших конференции для исследователей в области информационной безопасности в латинской америке. Мне довелось выступить с кейнотом на открытии юбилейного 15-го по счету эвента.
не плохой способ попробовать свои силы и получить бесплатный проход на ZN 😜
Forwarded from ZeroNights
Семь дней, семь интересных заданий и шанс выиграть бесплатный билет на конференцию! Примите участие в #ZeroNights HackQuest, который будет проходить с 20:00 (МСК) 6 октября до 20:00 (МСК) 13 октября.
Выполните задания квеста и получите инвайт на конференцию!
Подробности на сайте https://zeronights.ru/news/hackquest-zeronights-2019/
Выполните задания квеста и получите инвайт на конференцию!
Подробности на сайте https://zeronights.ru/news/hackquest-zeronights-2019/
Уязвимость в Whatsapp (уязвимость в android-gif-drawable либе) c "exploit'ом" (без обхода ASLR)
https://awakened1712.github.io/hacking/hacking-whatsapp-gif-rce/
https://awakened1712.github.io/hacking/hacking-whatsapp-gif-rce/
Home
How a double-free bug in WhatsApp turns to RCE
In this blog post, I’m going to share about a double-free vulnerability that I discovered in WhatsApp for Android, and how I turned it into an RCE. I informed this to Facebook. Facebook acknowledged and patched it officially in WhatsApp version 2.19.244.…
Новая уязвимость Use-After-Free в Android Binder эксплуатируется в дикой природе. Так как уязвимость в одном из основных компонентов (Binder), это дает широкое покрытие устройств (включая недавно обновленные Pixel).
https://bugs.chromium.org/p/project-zero/issues/detail?id=1942
https://bugs.chromium.org/p/project-zero/issues/detail?id=1942
Еще одна интересная бага от P0, на этот там где не ждали. В мессенжере Signal, который многие в ИБ индустрии рекламируют как наиболее защищенный, нашли возможность без какого-либо видимого для пользователя взаимодействия активировать микрофон удаленно 🙈
https://bugs.chromium.org/p/project-zero/issues/detail?id=1943
https://bugs.chromium.org/p/project-zero/issues/detail?id=1943
Удивительно, но до сих пор можно находить интересные баги в PE загрузчике на различных версиях ОС от MS
https://bugs.chromium.org/p/project-zero/issues/list?q=fixed%3A2019-oct-8&can=1
https://bugs.chromium.org/p/project-zero/issues/list?q=fixed%3A2019-oct-8&can=1
Дескрипторы безопасности в винде довольно сложный топик, этот блогпост собрал лучшие практики аудита моделей доступа для приложений на MS Windows
https://posts.specterops.io/security-denoscriptor-auditing-methodology-investigating-event-log-security-d64f4289965d
https://posts.specterops.io/security-denoscriptor-auditing-methodology-investigating-event-log-security-d64f4289965d
Medium
Security Denoscriptor Auditing Methodology: Investigating Event Log Security
Upon gaining access to a system, what level of access is granted to an attacker who has yet to elevate their privileges?
Теперь нас можно слушать на сервисе Яндекс.Музыка https://music.yandex.ru/album/8967636
Яндекс Музыка
Noise Security Bit
нерегулярный подкаст о жизни ресечеров по обе стороны океана • Подкаст • 126 подписчиков
Эпичная переполняшка в sudo 🙀:
sudo -u#-1 <any command as root> 🤞
https://www.openwall.com/lists/oss-security/2019/10/14/1
sudo -u#-1 <any command as root> 🤞
https://www.openwall.com/lists/oss-security/2019/10/14/1
Кстати, через несколько дней мы проведем розыгрыш нескольких инвайтов на конференцию ZeroNights для наших слушателей 🎙🤞
Google анонсировала технологию Shadow Call Stack для своих устройств Google Pixel 3, 3a, 4 на Android 10
https://security.googleblog.com/2019/10/protecting-against-code-reuse-in-linux_30.html
https://security.googleblog.com/2019/10/protecting-against-code-reuse-in-linux_30.html
Google Online Security Blog
Protecting against code reuse in the Linux kernel with Shadow Call Stack
Posted by Sami Tolvanen, Staff Software Engineer, Android Security & Privacy Team The Linux kernel is responsible for enforcing much of...
Forwarded from ZeroNights
Какие сложности и риски безопасности создает вендору железа отданная на аутсорс разработка?
На ZeroNights 2019 Александр Матросов рассмотрел несовершенства архитектуры через призму проблем безопасности и уязвимостей.
Запись выступления "Hardware Security is Hard: how hardware boundaries define platform security" на нашем YouTube: https://youtu.be/ovGDHgG5pGw
На ZeroNights 2019 Александр Матросов рассмотрел несовершенства архитектуры через призму проблем безопасности и уязвимостей.
Запись выступления "Hardware Security is Hard: how hardware boundaries define platform security" на нашем YouTube: https://youtu.be/ovGDHgG5pGw