Michał Kowalczyk 🇺🇦
@dsredford
Followers
3,360
Following
147
Media
13
Statuses
611
reverse-engineering / low-level security @DragonSectorCTF vice-captain / Invisible Things Lab Mastodon: @redford @infosec .exchange bsky: @mkow .bsky.social
Zürich
Joined December 2011
Don't wanna be here?
Send us removal request.
Explore trending content on Musk Viewer
#خلصوا_صفقات_الهلال1
• 535441 Tweets
ラピュタ
• 392094 Tweets
Atatürk
• 368369 Tweets
#พรชีวันEP15
• 234436 Tweets
Johnny
• 194661 Tweets
Megan
• 180116 Tweets
#金曜ロードショー
• 126835 Tweets
MEGTAN IS COMING
• 108594 Tweets
NAMJOON
• 101293 Tweets
RM IS COMING
• 99728 Tweets
YINWAR OVER THE HORIZON
• 98721 Tweets
#初音ミク誕生祭2024
• 84089 Tweets
#バルス祭り
• 58631 Tweets
Labor Day
• 44265 Tweets
CHERISH TWENTY WITH WONYOUNG
• 41918 Tweets
ミクさん
• 41067 Tweets
olivia rodrigo
• 39150 Tweets
ムスカ大佐
• 38677 Tweets
#ساعه_استجابه
• 32354 Tweets
ŹOOĻ記念日
• 22831 Tweets
パズーとシータ
• 22354 Tweets
ミクちゃん
• 19655 Tweets
#4MINUTES_EP6
• 19117 Tweets
滅びの呪文
• 17411 Tweets
#フロイニ
• 14630 Tweets
ロボット兵
• 13246 Tweets
ナウシカ
• 13158 Tweets
ミク誕生日
• 10575 Tweets
Lolla
• 10018 Tweets
It's finally happened! NEWAG IP Management just sued us for copyright infringement and unfair competition.
Here's a symbolic picture of the lawsuit as a whole: Newag quoting q3k's own code as supposedly their IP :)
More:
19
86
527
Achievement unlocked: Cracking a train
12
90
445
Shout out to the Security Research Legal Defense Fund for helping us go public about our train research! We're honored to be their first grantees.
Longer post + link to their announcement:
1
33
185
[PL] „Zainstalowane przez hackerów oprogramowanie“ - jak kłamie o aferze z Newagiem:
Nie to planowaliśmy postować w najbliższym czasie w sprawie afery z Newagiem, ale tego typu kłamstwa nie mogą pozostać bez odpowiedzi.
4
23
129
(btw. this is a sample, toy PLC code written by q3k to show how PLC programmin works, from our 37C3 preso - see slide 28 in )
1
1
102
@kingcrimson_777
@Zaufana3Strona
Tak, nie było zabezpieczeń, tylko po prostu wysoki próg wejścia do analizy. Mnie to ani trochę nie dziwi, taki typowy programista raczej nie wie, że da się wyciągnąć kod z pociągu i go przeanalizować. W końcu przecież nie mamy źródeł :)
10
2
83
Slides (PL) from a talk given by
@q3k
and me about reversing/hacking Toshiba laptop BIOS protection + EC signature system:
5
47
83
@_tsuro
My very hacky solution:
I'll try to post cleaned-up version later, but no promise ;)
1
14
82
First attempt at sabotaging our 37C3 talk - just got a paper model of an Impuls train right when we should be finishing our slides 😬
3
3
81
Now available in English! :) (it's a synopsis of our talk we had yesterday and will also have at 37C3)
Dieselgate, but for trains - some heavyweight hardware hacking.
Story about trains that broke down and analysis that discovered it was not a coincidence.
13
158
585
3
10
78
“Software installed by hackers”- how the Polish Press Agency changed and manipulated prosecutor's words about the Newag scandal:
It's really sad to see this level of "journalism" from the national press agency...
To jakaś forma żartu? „w sprawie zainstalowania przez hakerów oprogramowania wywołującego blokowanie pociągów Impuls”
15
32
274
4
14
59
[PL] "Dla pewności poprosiłem Prokuraturę Regionalną w Krakowie o komentarz. W odpowiedzi od prok. Katarzyny Dudy czytamy, że jej pisemna wypowiedź dla PAP „nie zawierała żadnej wzmianki o »hakerach«”".
2
10
55
Can you generate a file containing its own CRC-128 written in hex? And without any control over prefix and suffix of the text?
Interested? Check out hellman's write-up for my CTF challenge!
0
11
44
Turns out the profiles actively defending Newag and attacking us are fake (e.g. stolen profile photo).
W tweetach o Newagu bardzo aktywnie udziela się
@Karol16134111
. "Karol" ma kradzione zdjęcie profilowe, lubi Newag i nie lubi Dragon Sectora. Panie Łukaszu, może Pan już odpuści? Także jako "adam" na z3s,
@Dawid43185389
czy
@Adam86505863
. Można już wrócić do koreańskich BWP.
12
29
498
2
4
40
FYI: I just slightly cleaned up my RIDL exploit and added more comments to assembly, hopefully it's less magic now :)
(this is my solver for
@_tsuro
's task from Google CTF Finals, exploiting RIDL on a Skylake CPU with 2 hyperthreads, running on GCE)
@_tsuro
My very hacky solution:
I'll try to post cleaned-up version later, but no promise ;)
1
14
82
0
8
38
@bl4sty
libunwind used to do the same, but using a different syscall (mincore or msync, depending on the config) and more sloppily, they didn't check errno at all:
1
1
33
yay, top1 in quals! beware, Poland is coming for your satellites!
gg Poland Can Into Space for finishing quals 🎉🍾 90 minutes left, hack harder computer how do i type a computer emoji help computer
0
5
42
0
0
28
yay! :)
2019 was a great year for Dragon Sector!
🏆1st place at global ranking for the 2nd year in a row & 3rd time in the history of our team
🥇1st place at 2 CTFs
🥈2nd place at 5 CTFs
🥉3rd place at 5 CTFs
💻And also organized a well received Dragon CTF 2019!
10
21
314
0
0
26
@kingcrimson_777
@Zaufana3Strona
Nie były zablokowane, ale i tak nie miało to znaczenia, zgrywaliśmy je w lepszy sposób.
W tym wypadku unieruchomienie pojazdów bezpośrednio wynikało z IFów, jest to w artykule :P
1
0
24
my left screen: "In practice there is no reason to compile without optimizations, therefore we require that GNU libc be compiled with optimizations enabled"
my right screen: received signal SIGSEGV
elf_dynamic_do_Rela ([..] nrelative=<optimized out>, relsize=<optimized out>[..])
0
5
24
We were in the news yesterday!
[PL]
3
1
24
ok, seems we can into space! :)
1
4
23
One of the best write-ups I read recently! Kudos for including step-by-step description: from the idea, through various experiments, to the final result and its implications.
Today we present deep research from our
@wipawel
into the branch predictor of AMD CPUs and abusing its behavior to exploit Spectre v1 much more easily than previously understood, culminating in reproducing an arbitrary kernel mem leak PoC in only 3 days.
5
85
217
0
6
20
@michal_omni
@NewagSa
@DragonSectorCTF
Jeśli by Pan mógł poprawić, to w artykule jest kilka błędów: nigdy nie widzieliśmy kodu źródłowego. To co analizowaliśmy to kod maszynowy, który jest czymś zupełnie innym. Nie usuwaliśmy też żadnego kodu, tylko znaleźliśmy tajny "kod" do wpisania przyciskami na panelu maszynisty.
1
0
20
Turns out I'll be a part of the "Responsible disclosure and (legal) risks for security researchers" discussion panel at Nullcon Berlin (13-15 March). Should be quite interesting :)
3
1
18
@mbacarella
@AndresFreundTec
@binitamshah
The overhead is caused by the obfuscation of the backdoor, they overdid it a bit :)
0
1
17
Trochę nowych komentarzy do sprawy (z obu stron). Polecam, dobrze napisany artykuł :)
w grudniu 2022 r. specjaliści od cyberbezpieczeństwa złożyli zawiadomienie, że znana spółka Newag instalowała cyfrowe blokady w swoich pociągach, aby zarabiać na ich serwisie. Spółka z Nowego Sącza zaprzeczała i odpowiedziała własnym, sensacyjnie brzmiącym zawiadomieniem do ABW i
0
3
40
0
1
17
We're organizing a CTF again! There are some hard (but rewarding) challenges waiting for you, don't miss it!
Teaser Dragon CTF 2019 is taking place this weekend!
Sat, 21 Sept. 2019, 12:00 UTC — Sun, 22 Sept. 2019, 12:00 UTC
Format: online, jeopardy, team-based (no size limit), teaser, ranked
𝑯𝒂𝒗𝒆 𝑭𝒖𝒏 𝑮𝒐𝒐𝒅 𝑳𝒖𝒄𝒌!
(1/4)
2
28
81
0
10
16
@rootkovska
@haroonmeer
To my knowledge, security of dev tools in general is quite terrible. Regarding Sublime Text, see this comment from its author:
And this isn't only about those new shiny editors, even Vim has troubles sometimes (e.g. CVE-2019–12735).
1
6
15
0
4
14
@StanislawSobcz6
@Zaufana3Strona
Nah, znaleźliśmy metodę na trwałe odblokowanie bez modyfikacji oprogramowania :)
0
0
13
@kuracyja
Ale przecież powiedzieli _technicznie prawdę_: jeśli w Polsce śmiertelność jest 0, za granicą też 0, więc jest cztery razy wyższa (0*4 = 0)
🙃
0
0
11
@kuracyja
Yes, we're working on compiling all the older reports into a new, more thorough one and also including some new discoveries. But it's a lot of work and we need to check everything multiple times, so please be (very) patient :)
1
1
11
@adal93718175
@prywatnik
Dokładnie, to jest nasze własne demo ilustrujące jak działa programowanie PLC, slajd 28 z .
2
0
10
@LukeC_J
@kingcrimson_777
@Zaufana3Strona
Oczywiście, bez solidnych i jednoznacznych dowodów byśmy tego nie publikowali :)
2
1
10
@djDziadek
@InfZakladowy
Ale przecież te umowy są publiczne, bo to były przetargi. Z3S nawet powklejało z nich cytaty, które mówią że zakup był z prawami do serwisowania i dokumentacją. Patrz .
1
0
9
@Karol16134111
@kilijanek
@pawel_lasek
@Jakub34393199
@kingcrimson_777
@Zaufana3Strona
W wątku obok pisze Pan: "to hakerzy umieścili te bomby", a tutaj że te blokady to zaplanowana funkcja oprogramowania Newagu do której mają prawa autorskie. Proszę się zdecydować ;)
1
0
7
@Foone
Try Ctrl,Tab,Ctrl,Enter on password screen. If you get a chall-resp prompt, then I may have a working keygen :) See
1
0
8
@FOSSPenguin
I think the train owners are waiting for the penal case to finish before they sue, so it's probably still years away...
1
0
7
@gynvael
Hope you're pinging them from some nice IPs which rev-DNS to {lightbulb_2,fridge,traffic_light_0A914C...}.something ;)
1
0
7
@Jakub34393199
@kilijanek
@Karol16134111
@kingcrimson_777
@Zaufana3Strona
Logi aktualizacji na CPU831 sugerowały aktualizację oprogramowania na kilka dni przed wysłaniem do SPS.
1
0
6
@mr1c2n
@SylwesterMucha
@Zaufana3Strona
Ale jakie włamanie? Te pojazdy przecież nie należały do Newagu, tylko do naszych klientów.
Proszę też nie mylić hakera z cyberprzestępcą, to są dwie różne rzeczy.
0
0
6
@joernchen
Just bait some CTF team into creating such a challenge :)
Anyways, I personally doubt it's feasible outside of lab. Even with our usual rent-a-server-in-the-same-colo trick the noise was too big for this.
2
0
5
@magdalena_sojka
@Zaufana3Strona
@gynvael
@jciesz
Nie. Wystąpiliśmy na konferencji z własnej inicjatywy ponieważ chcieliśmy upublicznić tę sprawę i poinformować o niej opinię publiczną.
1
0
5
@kkrzychu_
Z tego co wiemy to aktualizacje wymagały dostępu fizycznego.
Co do internet -> CAN: wiemy tylko że główny komputer rozmawiał z "konwerterem UDP<->CAN", który był podłączony do SIPu, który był podpięty do modemu GSM. Ale zdążyliśmy jeszcze przeanalizować tego dokładniej.
1
0
5
@disconnect3d_pl
I once made a CTF challenge based on the idea of typos causing security vulnerabilities: (slides 16-23)
1
0
5
@disconnect3d_pl
@gynvael
It's even possible to trigger some assertion errors in GDB this way :) More funny stuff: execve from a non-main thread _changes_ that thread's TID to be equal to the process' PID.
1
0
4
@ZolkiewskaJ
@PolaMatysiak
@DragonSectorCTF
Ja nic nie wiedziałem :) Straszyli już od początku grudnia, ale dopiero teraz coś rzeczywiście zrobili.
0
0
4
Uh, at least in case of Graphene, the bugs presented there were fixed almost 2 years ago, but the presentation doesn't say that and present this like a recent finding... (at least the part I already watched)
0
0
4
Oh, so it's not only me! :)
0
2
4
@TCzajka
trivia: IDA Pro installer passwords were broken because they used a PRNG to generate them :) See and
0
2
3
@PLT_cheater
@gynvael
@daniel_bilar
@q3k
Also called "EC/KBC" (Embedded Controller / Keyboard Controller). Nowadays it controls a lot of random devices inside laptops, not only the keyboard.
1
0
3
@Karol16134111
@kilijanek
@pawel_lasek
@Jakub34393199
@kingcrimson_777
@Zaufana3Strona
To jeszcze raz zacytuję nikogo innego jak Pana, tylko z innego wątku: "to hakerzy umieścili te bomby". Te wasze próby wybielenia Newagu wyglądają coraz bardziej desperacko :)
@pawel_lasek
@Rosynant_
@elpooho
@antek_pe
@kuracyja
Przecież to hakerzy umieścili te bomby. Poza tym umowa na te pociągi nie przewiduje przekazania dokumentacji serwisowej, konstrukcyjnej ani kodów źródłowych.
5
0
0
0
0
3
@kuster3k
@InfZakladowy
Prawdopodobnie miał się zepsuć w trakcie przeglądu 21.11.2021 i już zostać zepsuty, ale ten IF jest źle napisany i psuje tylko do końca miesiąca (i pod koniec grudnia). Bug w kodzie blokad :)
1
0
3
@bsdaemon
"Our unparalleled focus on [...] transparency with security researchers". At the same time, internally-found bugs don't enjoy any public write-ups, patches aren't explained and researchers don't really get useful technical feedback.
0
1
3
0
0
3
@JMadrjas
@kuracyja
@PolaMatysiak
@bartiniPL
Z tego co rozmawialiśmy z tym redaktorem to on sam dopisał to "hakerzy zainstalowali" i podpisał że to słowa prokuratury, nie było tego w oryginale. Ale nie widzi w tym problemu, bo jak "nieautoryzowane" to znaczy że hakerzy ¯\_(ツ)_/¯
0
0
2
@TCzajka
Nitpicking a bit, but in "CSPRNG from a block cipher" part - is this construction actually a CSPRNG? The output blocks never repeat until the full period is exhausted, so after ~sqrt(codomain) blocks it starts to be distinguishable from true randomness?
Anyways, great post :)
1
0
2
@Black_Biarrhea
@Kreg1830814
@PolaMatysiak
@DragonSectorCTF
Nieprawda, umowa zezwalała na serwis poza Newagiem. Zobacz np. .
0
0
2
Nice project from a friend, 100+ vulns found in various WordPress plugins using an automated scanner!
0
0
2
@spiceywasabi
@daniel_bilar
@q3k
Hah, sorry then! A lot of people were asking such questions to us seriously in the past, so I got a bit confused ;)
0
0
2
@pwnallthethings
@robogeographer
AFAIR on XP all the mines were placed at the beginning, but if you hit one on the first click, then it was moved to the first free cell, starting from left-top-most. So, now you know where not to make your second click :)
0
0
1
@andreafioraldi
@LiveOverflow
@David3141593
@mhackeroni
@allesctf
I went to the 2018 finals, terrible CTF :/ Half of the challenges were broken (e.g. missing a flag or not solvable) and half were really boring (e.g. "guess the name of the tool we used", ofc case and whitespace sensitive).
1
0
2
@chriswaclawek
@koeppelmann
@QubesOS
@rootkovska
@koeppelmann
please contact Qubes team at business
@qubes
-os.org
0
0
2
@spiceywasabi
@daniel_bilar
@q3k
This trick (and any other trivial stuff) doesn't work for Toshiba laptops from business series - the encrypted password hash is stored in a separate EEPROM connected to the EC.
1
0
2
@rzymianin
@prywatnik
To nie jest kod z pociągu, tylko z prezentacji. Czytaj ze zrozumieniem ;)
1
0
1
@rzymianin
@Zaixx1992
@grzegon
@Osak_Adrian
I potem jeździł po całej Polsce i wgrywał wszystkim operatorom blokady, które załączały się u konkurencji Newagu? A Newag (który oczywiście nic nie wiedział o blokadach) odblokowywał te pojazdy za ~100k PLN w 10 minut?
2
0
1
@psifertex
@vie_pls
@ZetaTwo
I know, just joking because Ghidra's dragon is red and it's DS dragon which is green ;P
1
0
1
@SwissHttp
@3lbios
@gynvael
_IOC_SIZE is just a macro which selects some bits from the command, which is usermode-controlled. You can specify a bigger size than expected by this function (assuming you bypassed the buggy switch).
See .
2
0
1
@Macsch15
@Zaufana3Strona
@yanosikpl
Tylko to wymaga wysłania danych do nich, dekodowanie w yanosiku nie jest off-line ;)
0
0
1
1
0
1