„Pilne zamówienie nr…” – czyli kampania mailowa celowana na polskich internautów. Atakujący wykradają dane bankowe / VPN / poczty elektronicznej, ciasteczka z przeglądarek…

02 lutego 2023, 20:18 | Aktualności | 1 komentarz

Tym razem otrzymaliśmy od jednego z naszych Czytelników próbkę złośliwego oprogramowania wykradającego poświadczenia przechowywane w przeglądarkach i jest to stealer podobny do opisywanego już wcześniej. Nota bene: przed publikacją artykułu, wysłaliśmy powiadomienia do zespołów CERT Polska, CSIRT KNF oraz CERT Orange. Tak jak w poprzednim przypadku, malware rozsyłany jest e-mailami…

Czytaj dalej »

Podsumowanie cyber-wydarzeń stycznia

30 stycznia 2023, 18:42 | Aktualności | komentarze 4
Podsumowanie cyber-wydarzeń stycznia

Poniżej subiektywny wybór newsów / ciekawostek / ostrzeżeń, które publikowaliśmy w styczniu 2023r. na sekuraku. Jeśli podoba się Wam zestawienie – podeślijcie linka znajomym oraz koniecznie dajcie znać w komentarzu. Jeśli Wasz odzew będzie pozytywny – będziemy kontynuować tego typu zestawienia (częściej niż raz na miesiąc :-) SEKURAK (scamy, ciekawostki,…

Czytaj dalej »

Darmowy pentest / audyt bezpieczeństwa od Sekuraka. W ramach nagród pocieszenia są nasze kubeczki.

27 stycznia 2023, 20:10 | Aktualności | komentarzy 11
Darmowy pentest / audyt bezpieczeństwa od Sekuraka. W ramach nagród pocieszenia są nasze kubeczki.

Do tej pory nasze publicznie raporty z testów bezpieczeństwa możecie pobrać tutaj, tutaj, tutaj czy tutaj (wszystkie te firmy wyraziły formalną zgodę na publikację raportów). Wszystkich komercyjnych projektów realizujemy całkiem sporo, w 2022 roku było to około 6500 pełnych dni hackowania (pentestowania), które dostarczyliśmy w ramach Securitum komercyjnie. Jeśli chciałbyś dla…

Czytaj dalej »

Czym jest podatność Server-Side Request Forgery? (SSRF). Przykłady / skutki wykorzystania / metody ochrony.

25 stycznia 2023, 09:45 | Teksty | 0 komentarzy
Czym jest podatność Server-Side Request Forgery? (SSRF). Przykłady / skutki wykorzystania / metody ochrony.

Server-Side Request Forgery – czyli zmuszenie serwera do zainicjowania pewnej komunikacji sieciowej. Przykład? Umieszczam na Facebooku link do zewnętrznego zasobu – Facebook łączy się do zadanego URL-a, pobiera jego zawartość, a następnie przedstawia ją użytkownikowi w zgrabnej formie. Całość wygląda całkiem bezpiecznie. W którym zatem miejscu występuje podatność? W zasadzie…

Czytaj dalej »

Skucha w menadżerze haseł Bitwarden? Ustawionych mieli mało iteracji PBKDF2. Teoretyczny problem, a może trzeba się bać? ;-)

24 stycznia 2023, 09:41 | Aktualności | komentarzy 28
Skucha w menadżerze haseł Bitwarden? Ustawionych mieli mało iteracji PBKDF2. Teoretyczny problem, a może trzeba się bać? ;-)

Tutaj krótka analiza użycia algorytmu PBKDF2 w Bitwardenie. W skrócie – odpowiednie użycie PBKDF2 znacznie zwiększa czas łamania głównego hasła do menadżera, w przypadku gdyby doszło do hipotetycznego ataku na jego infrastrukturę IT (podobnie jak miało to miejsce w przypadku LastPass). Ale żeby wszystko działało zgodnie z zamierzeniami, potrzebna jest…

Czytaj dalej »

Wrocław. Ktoś rozkleja plakaty z takim kodem QR… „zbiór informacji o obywatelach Ukrainy”. Link prowadzi do Proton Drive…

20 stycznia 2023, 14:38 | Aktualności | komentarzy 20
Wrocław. Ktoś rozkleja plakaty z takim kodem QR… „zbiór informacji o obywatelach Ukrainy”. Link prowadzi do Proton Drive…

Jeden z czytelników przesłał nam dzisiaj rano takie zdjęcie: Z ciekawostek – tutaj lokalizacja tego miejsca na Google Street View: Gdzie prowadzi QR kod? Do adresu: drive.proton[.]me (usługa storage cloudowego od Protona). Tam z kolei plik .doc: oświadczenie_o_cudzoziemcach_przebywających_w_rp.doc wyglądający mniej więcej tak: Czy plik jest złośliwy? Wygląda na to, że…

Czytaj dalej »

Badacze: zwykłe routery WiFi są w stanie „widzieć” osoby przebywające w danym pomieszczeniu.

19 stycznia 2023, 17:28 | Aktualności | komentarzy 7
Badacze: zwykłe routery WiFi są w stanie „widzieć” osoby przebywające w danym pomieszczeniu.

Wersja clickbaitowa: „dzięki WiFi można widzieć przez ściany„. No dobra, przez ściany nie można widzieć z wykorzystaniem WiFi, ale być może osiągnięcie tego celu jest blisko. Pod koniec zeszłego roku pokazano drona, który jest w stanie „widzieć” urządzenia WiFi, które znajdują się za ścianą budynku. „Widzieć”, w sensie wskazać ich…

Czytaj dalej »

Wbił się do wewnętrznego panelu admina Google. Pomógł całkowity przypadek: awaria w dostawie prądu oraz specyficzne ustawienia na telefonie badacza…

19 stycznia 2023, 13:24 | Aktualności | komentarze 4
Wbił się do wewnętrznego panelu admina Google. Pomógł całkowity przypadek: awaria w dostawie prądu oraz specyficzne ustawienia na telefonie badacza…

Ciekawa podatność, za którą Google wypłacił $13337. Jeśli wczytacie się w opis problemu, to w zasadzie… nie ma tam żadnego hackingu. Badacz zaczął od prób dobicia się (z poziomu Internetu) do pewnego adresu IP Googla, ale nieskutecznie. Na drodze stawał ekran logowania (Google Proxy). Żadna próba obejścia nie działała, a…

Czytaj dalej »

Appka mierząca parametry standardowego klucza na podstawie jego zdjęcia. Ułatwia dorobienie duplikatu…

18 stycznia 2023, 10:37 | Aktualności | komentarzy 10
Appka mierząca parametry standardowego klucza na podstawie jego zdjęcia. Ułatwia dorobienie duplikatu…

Zobaczcie appkę KeyDecoder (temat namierzony u @prywatnika). Wystarczy zrobić zdjęcie na tle obiektu o wielkości standardowej karty kredytowej i voilà: Twórca wyraźnie zaznacza, że dorabianie kluczy bez zgody właściciela jest nielegalne, a appka służy tylko celom edukacyjnym / legalnym zdaniom (np. pentesty): This Key Decoding app is meant to be…

Czytaj dalej »

Koleżka kupił androidowy TV box (T95 AllWinner T616). A tam domyślnie działa sobie malwarek. Analiza.

13 stycznia 2023, 10:35 | Aktualności | komentarzy 27
Koleżka kupił androidowy TV box (T95 AllWinner T616). A tam domyślnie działa sobie malwarek. Analiza.

Bohaterem są tanie urządzenia dostępne np. na Amazonie: Badacz zakupił je najpewniej na standardowe potrzeby (tj. oglądanie TV ;) ale postanowił nieco przeanalizować zdobyty okaz: This device’s ROM turned out to be very very sketchy — Android 10 is signed with test keys, and named „Walleye” after the Google Pixel…

Czytaj dalej »

Giga sniffer. Nowe prawo telekomunikacyjne dające służbom dostęp do „maili/komunikatorów”. Dostęp do danych „zaszyfrowanych” bądź „usuniętych”.

12 stycznia 2023, 10:08 | Aktualności | komentarzy 13
Giga sniffer. Nowe prawo telekomunikacyjne dające służbom dostęp do „maili/komunikatorów”. Dostęp do danych „zaszyfrowanych” bądź „usuniętych”.

W sieci ostatnio dość głośno w tematach z tytułu wpisu, spróbujmy jednak przyjrzeć się nieco głębiej sprawie. Jeśli chcesz poczytać tylko o narzędziu uzyskującym dostęp np. do skasowanych informacji np. z Signala – przejdź od razu do drugiej części tekstu. Zacznijmy od nowego prawa telekomunikacyjnego. Obecnie jest ono czytane na…

Czytaj dalej »

Zainfekowali OLX / Wykop? A może Twój telefon? Nie, to scam reklamy „wstrzykiwane” do tych serwisów.

09 stycznia 2023, 11:18 | Aktualności | komentarzy 10
Zainfekowali OLX / Wykop? A może Twój telefon? Nie, to scam reklamy „wstrzykiwane” do tych serwisów.

Jedna z czytelniczek napisała do nas w ten sposób: Zaczęło się od tego że mojej koleżance parę dni temu podczas przeglądania OLX w przeglądarce zaczął wyskakiwać dziwny komunikat. Więc moja koleżanka z racji tego, że jej telefon był już stary i już ledwo dyszał kupiła nowy telefon. Wczoraj koleżanka mi…

Czytaj dalej »

Jak w bezpieczny sposób wysłać innej osobie hasło?

09 stycznia 2023, 09:33 | Aktualności | komentarzy 50
Jak w bezpieczny sposób wysłać innej osobie hasło?

Ciekawy wątek na Reddcicie (łącznie z zaciętą dyskusją) możecie śledzić w tym miejscu. Po pierwsze, jeśli używasz szyfrowanej poczty (np. dostępnego w Thunderbirdzie PGP/GPG), wystarczy że wyślesz dane logowania szyfrowaną wiadomością e-mail. Z szyfrowania GPG można też w prosty sposób korzystać, używając Protonmaila (aby szyfrować nie potrzeba jest w tym…

Czytaj dalej »