Bartek Nowotarski

The case I've been working in 2024.Q1: The CONTINUATION Flood is a class of vulnerabilities within numerous HTTP/2 protocol implementations. A single TCP connection can lead to server crash. Check the advisory at: nowotarski.info/http2-continua…

‼️At the end of last year, there was a series of coordinated attacks in Polish cyberspace. 📌Today, our team is publishing a report describing the technical analysis of these events. We show the scheme of operation and the tools used by the attackers. ➡️cert.pl/uploads/docs/C…

Looks like there's a new variant of Sha1-Hulud / Shai Hulud which wipes victim's repos by force-pushing a commit with `init` message. The only good outcome is that it also wipes repos with exposed secrets (created by this worm).

The emerging proposals to end Russia's war against Ukraine must take into account the fact that Russia is a country that does not honor agreements. Each and every peace plan aimed at ending the war in Ukraine started by the Russian Federation must be accepted in Kyiv. It is Ukraine that has fallen victim to Putin's criminal aggression, and it is the Ukrainians, with the support of the United States and the EU countries, who must have the decisive voice in peace talks. Any arrangements concerning peace and security of Europe can only be made with the participation of all interested parties. The price of peace cannot in any way be the achievement of strategic goals by the aggressor, and the aggressor was and is the Russian Federation.

Today we celebrate the 105th anniversary of the great Polish victory at the Battle of Warsaw in 1920. The Polish Army, together with Ukrainian forces, successfully repelled the Red Army’s westward march, safeguarding Europe from a communist revolution. For centuries, Russian imperialism has been a mortal threat to our freedom. Poland’s political tradition teaches that Russian expansionism rests on a legacy of domestic despotism, in which the only free man is the ruler himself. But precisely because Russian despotism is the enemy of freedom, Russian imperialism can only be defeated through an alliance of free peoples. My nation halted Russian imperialism at Orsha (1514), Klushino (1610) and Warsaw (1920). The Polish people know that resisting Russian imperialism is not merely an economic matter – it concerns the very essence of human and national freedom. Freedom is priceless. It can neither be bought nor sold. It must be defended. This is the Polish tradition, stretching back to the 15th century. I invite all who cherish freedom and peace to join my fellow Poles on August 15 in celebrating the halting of despotism and the defense of liberty. That is why we will never surrender to Russian imperialism, and why we stand with Ukraine in defending its freedom – to make Europe whole, free, and at peace once again. Russia is not unstoppable. Russia is not undefeatable.

👀 Mocny spadek ruchu na T-Mobile (AS12912). Coś na rzeczy czy błąd @CloudflareRadar?

I submitted my "HTTP/2 CONTINUATION Flood" research, and it got nominated. Check it out and vote!

Fiński serial #konflikti (Konflikt) wjechał z hukiem, bo jest superaktualny i pokazuje reakcję państwa na zajęcie przez rosję kawałka Finlandii. Mamy tu wszystko od wielkiej polityki po operacje wojska i zwykłych obywateli. 6-odcinkowy serial trzyma w napięciu do końca 1/4

#Wigilia @CloudflareRadar

Our talk at #BHEU is done! Hope you all enjoyed it. 😉 A detailed blog is on the way, but in the meantime, check out the pre-alpha website worst.fit for early access and the slides! Huge thanks to @BlackHatEvents and my awesome co-presenter @_splitline_! 🐈‍

Poland disclosed it's help for Ukraine. 1/x In relation to GDP:

H1 2024 Global Threat Analysis: > In the first half of 2024, Web DDoS attacks saw a significant increase in frequency and intensity. A good portion of the activity can be attributed to hacktivists motivated by political tensions and new attack vectors such as HTTP/2 Rapid Reset and Continuation floods that drove these attacks to new heights in intensity and duration. Report: radware.com/h1-2024-global… CONTINUATION Flood: nowotarski.info/http2-continua…

@evilsocket You should report it to Cert CC. I have very similar experience when I discovered HTTP/2 Continuation Flood (nowotarski.info/http2-continua…). Many vendors simply didn't care about my reports but somehow started working on them after a friendly ping from Cert CC.

This is going to be the writeup opening statement. It's an actual comment from the github conversation. I mean, it's not wrong ...

* Unauthenticated RCE vs all GNU/Linux systems (plus others) disclosed 3 weeks ago. * Full disclosure happening in less than 2 weeks (as agreed with devs). * Still no CVE assigned (there should be at least 3, possibly 4, ideally 6). * Still no working fix. * Canonical, RedHat and others have confirmed the severity, a 9.9, check screenshot. * Devs are still arguing about whether or not some of the issues have a security impact. I've spent the last 3 weeks of my sabbatical working full time on this research, reporting, coordination and so on with the sole purpose of helping and pretty much only got patronized because the devs just can't accept that their code is crap - responsible disclosure: no more.

Co (wg mnie) powinien zrobić rząd/wojsko w sprawie #Powódź z zakresu IT (i możliwe że robi po cichu)? 1. Koordynacja, 2. Walka z dezinformacją, 3. Infrastruktura krytyczna 🧵 1. Koordynacja Aktualnie głównym problemem wydaje się być koordynacja pomocy zarówno materialnej (woda, żywność, osuszacze, sprzęt budowlany, materiały budowlane, a później wyposażenie mieszkań: meble, agd) jak i niematerialnej (pomoc przy sprzątaniu, remontowaniu budynków) między powodzianami i darczyńcami, wolontariuszami. Nie mówimy tutaj o pomocy rządowej a zwykłych obywatelach. Wiele osób chce pomóc ale ich pomoc nie jest adekwatna do czasu (wysyłanie butelek z wodą w momencie gdy woda w kranach jest zdatna do picia) albo nie wiedzą gdzie tą pomoc należy wysłać. Powinien powstać serwis internetowy łączący jednych z drugimi. Powodzianie powinni móc określić swoje aktualne potrzeby (z pozycji konkretnych rodzin). Logowanie przez login[.]gov[.]pl z weryfikacją adresu zamieszkania (musi być w strefie powodzi) co powinno zminimalizować scamy. Idealnie dostępna w mObywatelu żeby ograniczyć konieczność używania komputera lub logowania z przeglądarki mobilnej. Oczywiście dla osób starszych powinni być na miejscu wolontariusze którzy wprowadzą dane do tego samego systemu. Z drugiej strony serwis internetowy łączący darczyńców z poszczególnymi rodzinami, którzy będą mogli pomagać materialnie lub rzeczowo. Możliwa też główna zbiórka która będzie umieszczała pieniądze w skarbonkach najbardziej potrzebujących. Coś jak Szlachetna Paczka. Takiego serwisu nie zrobi wolontariusz czy non-profit. Tutaj najważniejsze jest uwierzytelnianie logowaniem rządowym. Bez tego ryzyko scamów jest zbyt duże. 2. Walka z dezinformacją Widziałem post @CyberWojska o monitoringu sieci pod względem fake-newsów. Poszedłbym o krok dalej. Wyobraźmy sobie hack strony Wód Polskich lub innej organizacji rządowej, samorządów, internetowego serwisu lokalnej gazety lub radia, w wyniku którego pojawiła by się nieprawdziwa informacja, np. o przelaniu wału, awariach lub niezdatności do picia wody z wodociągów. Pamiętamy wszyscy niedawny hack Polskiej Agencji Prasowej. Myślę że tak opublikowana informacja mogłaby wprowadzić więcej szkód niż posty na FB. Zleciłbym pilne testy penetracyjne wyżej wymienionych organizacji. Przejrzałem kilka z nich i często używa się WordPressa. Instancje WordPress (ogółem) bardzo często nie są aktualizowane pod względem wersji Wordpressa i wtyczek a w nich co chwile znajdowane są krytyczne błędy. Sprawdziłbym także bezpieczeństwo newsletterów i baz SMS w/w organizacji. O ile fake’owego newsa łatwo ściągnąć to wysłanego maila/SMSa po prostu się nie da. W przypadku wycieku maili/telefonów mieszkańców gminy jest poważny problem. Upomniałbym się o 2FA w tych organizacjach (jeśli nie ma). Także ich dostępów do Social Media (FB/X). @CyberWojska mówią wprost o atrybucji rosyjskiej w działaniach dezinformacyjnych (x.com/CyberWojska/st…). Wiele mówi się o ofensywnej komórce w DKWOC choć oficjalnych informacji brak. To chyba dobry moment aby z niej skorzystać. Myślę że @CERT_Polska też mógłby pomóc. 3. Infrastruktura krytyczna W końcu, o ile liczę że jest to robione bez przerwy (i było robione także przed powodzią), powinny zostać przeprowadzone testy penetracyjne infrastruktury krytycznej związanej z przeciwdziałaniem powodzi. Prawdopodobnie wszystkie zbiorniki, tamy, zapory (poza tymi z piasku) obsługuje się komputerowo. @CyberWojska powinny przeprowadzić jeszcze raz audyt bezpieczeństwa tych systemów. Możliwe, że w wyniku powodzi administratorzy dali dostęp nowym uprawnionym osobom. Często w przypadkach zmian w konfiguracji dostępu popełnia się błędy, być może teraz też takie coś nastąpiło. Mam nadzieję, że wiele z tych sugestii jest już w toku, bez rozgłosu...

@chudyPB When do you leave? (Sorry, can't send a DM)

I'm arriving in Cracow for 🐊 Ping me if you want to get a beer or two.

People, wear your apple watches! I fell down the stairs today (I'm fine, just some pain in the ankle, not broken) and it triggered the fall detention. If it had been more serious it would have called SOS or my emergency contract. It definitely can save lifes!

Exploiting authorization by nonce in WordPress plugins nowotarski.info/wordpress-nonc…

This seems to be a valid point. From what I've read the fix will not be automatic because systems are crashing at boot stage. Admins need to manually update each and every Windows machine in their infrastructure ☠️ #Crowdstrike

Faced with the problem of illegal migration on the Polish-Belarusian border, along with @Poland_MOD and @Straz_Graniczna, we are sending a clear message to all potential immigrants: don't try to cross the border. Don’t let Belarusian and Russian services take advantage of you❗️