Kamil Frankowicz

Zapoznajcie się ze stanowiskiem CERT Polska dotyczącym ograniczania przez firmę #META widoczności naszej analizy na temat oszukańczych reklam na platformach społecznościowych. cert.pl/posts/2024/11/…

Are general-purpose fuzzing research dead? Our answer is probably no. Check our new fuzzer work FOX. The awesome fuzzer @aflplusplus is already super-powerful and quite an effective baseline in academics and industry. But there is still room to improve upon. We introduce FOX (CCS 2024), a new general-purpose fuzzer. We formulate the fuzzing as a scholastic online control problem and advance the performance of AFL++ by up to 26.45% in real-world standalone programs and 6.59% in FuzzBench programs. Check our talk at CCS'24 @acm_ccs, fuzzing session 1, Oct 16th, 1:30 PM – 3:00 PM, at Grand Ballroom Salon F. Paper: arxiv.org/abs/2406.04517 Code: github.com/FOX-Fuzz/FOX

Za nieco ponad 2 tygodnie mija termin przedłużenia domen i zapłaty za hosting Otwartych Źródeł. Przez 4 lata istnienia tej strony udało mi się uzbierać na zrzutce kwotę wystarczającą na utrzymanie przez... 1 rok. Zachęcam, więc do wsparcia: zrzutka.pl/3gz825

W ostatnich tygodniach i miesiącach naprawdę zbyt wiele osób publicznie mówiło, że wybory przez internet to dobry pomysł. Razem z @komputerow napisaliśmy więc artykuł, który chcielibyśmy, aby te osoby przeczytały sobie kilka razy. Może być publicznie: batory.org.pl/publikacja/glo…

RZOMT NAZ RZPIEGUJE!!!1one. ___ TL:DR: W mediach wypisują głupoty. Przynajmniej w tym obszarze, w którym jestem w stanie zweryfikować to jak wielkie głupoty wypisują. Wersja dłuższa pod spodem. ___ Nie ma lekko, prawda? Wicie, rozumicie. Pegasusy, Hermesy, Maltego, Firefox'y, Chrome'y, MS Excel, Data Walk* (Co? Nie kojarzycie tego ostatniego? AMATORZY, a nie eksperci! Wszak to jest produkt rodzimy). OK, ale o co chodzi? Ano chodzi o teksty, które ukazały się niedawno w @gazeta_wyborcza oraz @oko_press . Autorzy "artykułów", które są firmowane przez w/w redakcje usilnie próbują udowodnić, że np. Hermes to jest kolejny Pegasus, tylko gorszy, bo nie wiedzą do czego służył. Znaczy... wiedzą i to opisują. Chociaż nie do końca, bo zdania pod którymi się podpisali są... a... szkoda strzępić sami wiecie co 🤪 A właściwie nie szkoda. Wręcz przeciwnie! I tak mamy PT redaktorów, którzy rozwodzą się nad tematami, o których nie mają pojęcia. Gdyby jeszcze skorzystali z pomocy osób ogarniających tematycznie zakres ich publikacji, ale nie... po co? Przecież zapytanie o zdanie fachowca, po pierwsze urąga godności wszechwiedzącego PT redaktora, czy może jednak powinienem napisać PT Redaktora? Po drugie niesie za sobą ryzyko, że ów spec wskaże bzdury i idiotyzmy w hipotezach stawianych przez wierszówkotwórcę. Co gorsze, taki spec, fachowiec, czy też profesjonalista (jak zwał tak zwał) może później przeczytać ten tekst i... wdać się w polemikę, w której wskaże, iż jeszcze przed publikacją punktował bzdurne założenia wierszówkotwórcy (IMHO to określenie w tym wypadku pasuje lepiej niż PT Redaktor). Tak więc mamy kolejne sensacyjne i "łamiące" wiadomości, gdzie autorzy opisują jakieś tematy znając się na nich tak jak ja na technologii żywności. Bądź świnia na gwiazdach (wykluczając z tego frazeologizmu wszelkie powiązania z Subaru #KMWTW ) A wskazać muszę, iż moja wiedza w tym zakresie ogranicza się do tego, że mój kolega z podstawówki ponad 20 lat temu poszedł do technikum o profilu "technolog żywności". Jak więc widzicie posiadam pełnię kompetencji do wypowiadania się w tym zakresie z pozycji autorytetu. Prawda? Żeby jeszcze, taki wierszówkokleta zreflektował się po publikacji oraz serii komentarzy punktujących głupoty. A gdzie tam! Idzie w zaparte, próbując przypiąć łatkę osobom wskazującym błędy merytoryczne. Wszak wierszówkokleta został namaszczony przez redakcję na nieomylnego eksperta, który zna się na wszystkim najlepiej. No dobra, ale skoro dobrnęliście do tego momentu zapewne zastanawiacie się po cholerę to napisałem. Otóż mam jakieś kompetencje, wynikające z tego o robię. Klikam w kąkuter i coś tam wiem (Nie wszystko! Niemniej jakieś podstawy ogarniam). Jednak gdy widzę bzdury wypisywane przez redakcje chcące uchodzić za "poważne", to cholera mnie trafia. Ja wiem, że to są bzdury, jednak osoba, która tego nie wie może przeczytać taki tekst i np. zacznie utrwalać oraz powielać idiotyzmy, powołując się na autorytet PT Redaktorów (choć tak jak napisałem wyżej IMHO wierszówkotwórcy/wierszówkokleci pasuje bardziej). I teraz aby nie pozostawić Was jedynie z moim narzekaniem. Chcecie poczytać o Hermesie? Zapraszam tutaj: zaufanatrzeciastrona.pl/.../bzdury-wyb… . Autor wie co pisze, a nie pisze co wie. Odnośnie dostępu do danych w mitycznym darknecie. 1. Każdy może tam zajrzeć. 2. Nie ma po co tam zaglądać. 3. Dla upartych (i masochistów) torproject.org 4. Dane z wycieków dostępne są w tzw. clearnecie, wystarczy wiedzieć gdzie szukać. Jednocześnie, gdy jesteśmy już przy temacie śledzenia. Wiecie, że czytając w socialach to co napisałem jesteście śledzeni? Pewnie coś gdzieś o tym słyszeliście. A czy wiecie, że redakcje GW oraz OKO.press też uwielbiają intensywnie przyglądać się swoim użytkownikom? Poniżej na screenach możecie znaleźć info o trackerach, które są podpięte do ich serwisów internetowych. Trochę to śmierdzi hipokryzją, prawda? Na koniec apel. Czytajmy ludzi, którzy piszą na tematy, które ogarniają. Wiem, że czasem jest to trudne, ale gdy trafimy na jakąś ciekawostkę w mediach "głównego nurtu", to spróbujmy wiedzę pogłębić, bądź przynajmniej zweryfikować, czy autor posiada kompetencje do pisania na dany temat. *Data Walk trafił tutaj, bo również służy do analizy danych. Brzmi groźnie, prawda?

Our LLM powered fuzzing framework is now open for community research. Help accelerate the innovation in #fuzzing - github.com/google/oss-fuz…

Tomorrow (27.12) 23:00 CET, don't miss it! :)

Motto: jeśli coś wygląda jak kaczka, chodzi jak kaczka i kwacze jak kaczka, to nie jest to żaden dowód. Komu wierzyć w aferze Newagu? Jak oceniać wiarygodność nieznanych ludzi piszących różne rzeczy? Krótki przewodnik 🧵👇

Here's my slides for Fuzzing: Age of Vulnerability Discovery I delivered as a keynote at @wootsecurity as well as @nohatcon and @HushCon this year. It's an overview of how the eco system has evolved with new instrumentation, snapshot fuzzing, and mutators. fuzzing.io/hushcon23.pdf

Dieselgate, but for trains - some heavyweight hardware hacking. badcyber.com/dieselgate-but… Story about trains that broke down and analysis that discovered it was not a coincidence.

Slajdy z mojej prezentacji "Automatyzacja automatyzacji czyli o fuzzingu w dobie GPT-4" na @OMHconf, podczas której opowiadałem o zautomatyzowanym atakowaniu AI / LLM, zarówno w sposób "twardy", jak i "miękki" 😀 bugs.sh/omh23 #OMHConf #OMH2023 #fuzzing #chatgpt #ai

Dlaczego wiele pociągów w Polsce długo nie jeździło - historia niesamowita. Przeczytajcie o trzech takich, co zhakowali pociąg – a nawet 30 pociągów zaufanatrzeciastrona.pl/post/o-trzech-… Czy można zrobić simlocka na pociąg? Okazuje się, że można, nikt tego nie sprawdza. No, prawie nikt...

🚨We współpracy z @COIgovPL w związku ze sprawą #ALAB zasililiśmy serwis ➡ bezpiecznedane.gov.pl JUŻ upublicznionymi numerami PESEL. Podkreślamy jednak, że są to wyłącznie dane dotychczas opublikowane i będą aktualizowane. Sprawdźcie czy Wasze dane też znalazły się w wycieku!

🔎Po trzech latach śledzenia złośliwych domen wprowadzamy parę zmian w działaniu Listy Ostrzeżeń przed niebezpiecznymi stronami. Zapraszamy do zapoznania się z proponowanymi zmianami, projekt znajdziecie ➡ cert.pl/posts/2023/08/…

🎆Zostaliśmy CNA czyli CVE Numbering Authority! Od dziś nadajemy podatnościom numery i dbamy o jakość bazy, która jest publiczna i dostępna za darmo. Baza CVE to podstawa dla organizacji z całego świata w identyfikacji i śledzeniu informacji o nowych lukach bezpieczeństwa.

Have you come across the #Drovorub malware (report: media.defense.gov/2020/Aug/13/20…)? I'm looking for packet captures or other samples to dig into it a bit. My DMs are open. Please RT for more reach.

Niedawno oburzaliśmy się, że OpenAI płaci kenijczykom za przygotowywanie danych do nauki AI od 1.32 do 2 dolarów za godzinę netto. Polska firma postanowiła przebić tę ofertę i proponuje studentom za oznaczanie danych 4.50zł za godzinę brutto.

After some hiatus I've returned to Hfinger, a tool for fingerprinting malware HTTP requests. I've fixed some bugs and improved processing of some headers. Check it out at @CERT_Polska_en GitHub github.com/CERT-Polska/hf…

🧨Wystartowaliśmy z kampanią promującą weryfikację dwuetapową #2FA . Sprawdź jak nie dać się ogolić na cert.pl/2etapy/ i posłuchaj rady fryzjera ✂⤵ youtu.be/Iy2E27vdWew