Aktualności

remote Sekurak Hacking Party – zapraszamy :-)

06 kwietnia 2020, 14:14 | W biegu | 0 komentarzy
remote Sekurak Hacking Party – zapraszamy :-)

Na najbliższym zdalnym remote Sekurak Hacking Party (7.04.2020, 20:00 – jeśli nie masz akurat wtedy czasu – całość będzie nagrywana) mamy trzy prezentacje (pełna agenda tutaj): 1. Bezpieczeństwo API REST – ciekawe przypadki. Michał Sajdak, 45 minut. 2. Podatność Race Condition w aplikacjach webowych – Robert Kruczek – 15 minut 3. Tytuł:…

Czytaj dalej »

Hackowanie Windows na żywo – odcinek #2. Zapraszamy na live stream :-)

06 kwietnia 2020, 12:01 | W biegu | 0 komentarzy
Hackowanie Windows na żywo – odcinek #2. Zapraszamy na live stream :-)

Dzisiaj (6.04.2020) o 20:00 zapraszamy na kolejny otwarty live stream. Po raz kolejny Grzegorz Tworek pokaże co nieco o hackowaniu Windowsa. Stream jest już zaplanowany: https://youtu.be/U_MG3W_v43k Jeśli z kolei nie chcecie przegapić naszych kolejnych wydarzeń, zerkajcie na bieżąco tutaj: sekurak.pl/tv/ Jutro (7.04) działamy ze streamem o praktycznym szyfrowaniu poczty (19:00),…

Czytaj dalej »

Nowy Jork zakazuje używania Zooma w edukacji szkolnej. Powód? Możliwe problemy z prywatnością i bezpieczeństwem

05 kwietnia 2020, 23:06 | W biegu | 0 komentarzy
Nowy Jork zakazuje używania Zooma w edukacji szkolnej. Powód? Możliwe problemy z prywatnością i bezpieczeństwem

The Washington Post donosi: Kilka dni po ostrzeżeniu od FBI o „przechwytywaniu” on-lineowych klas i telekonferencji, nowojorski departament edukacji  (odpowiada za działanie największego dystryktu szkolnego w kraju) stwierdził, że nauczyciele nie powinni używać więcej Zooma i zaproponował przejście na Microsoft Teams. Days after the FBI issued a warning to the…

Czytaj dalej »

Pegasus atakował użytkowników WhatsApp-a, a teraz okazuje się że Facebook chciał kupić Pegasusa, a przynajmniej jego fragment

05 kwietnia 2020, 21:42 | W biegu | komentarze 3
Pegasus atakował użytkowników WhatsApp-a, a teraz okazuje się że Facebook chciał kupić Pegasusa, a przynajmniej jego fragment

Pamiętacie o podatności we WhatsAppie, na którą został przygotowany exploit w Pegasusie? Po wyjściu na świat tematu, Facebook wytoczył firmie NSO (tworzącej Pegasusa) pozew sądowy. Obecnie jednak okazuje się, że w 2017 roku Facebook zgłosił się do NSO żeby zakupić pewien fragment Pegasusa. Po co? Żeby lepiej „monitorować” użytkowników iPhoneów…

Czytaj dalej »

Bezpłatny webinar o szyfrowaniu poczty. Praktycznie i przystępnym językiem.

05 kwietnia 2020, 20:44 | Aktualności | 0 komentarzy
Bezpłatny webinar o szyfrowaniu poczty. Praktycznie i przystępnym językiem.

W najbliższy wtorek (7.04.2020, 19:00) proponujemy coś ciekawego dla wszystkich osób ceniących swoją prywatność. W praktycznej formie pokażemy jak wykorzystać PGP/GPG do pełnego, bezpiecznego szyfrowania poczty. Po webinarze od razu będziesz w stanie zrealizować to samodzielnie. Na początek zaprezentujemy nieco teorii, a następnie zupełnie od zera, na żywo skonfigurujemy szyfrowaną…

Czytaj dalej »

Tarcza antykryzysowa 2.0: Ministerstwo Cyfryzacji ma otrzymywać od telkomów dane lokalizacyjne również zdrowych osób

05 kwietnia 2020, 20:26 | W biegu | komentarze 4
Tarcza antykryzysowa 2.0: Ministerstwo Cyfryzacji ma otrzymywać od telkomów dane lokalizacyjne również zdrowych osób

Wszystko w imię walki z epidemią, na chwilę, dla naszego dobra (jak i VAT-em 23% który miał być „na chwilę”). Tym razem Gazeta Prawna donosi o intrygującym zapisie w projekcie nowelizacji tarczy antykryzysowej. Zacytujmy obszerny fragment: Projekt nowelizacji ustawy, do którego dotarł DGP, przewiduje, że w czasie zagrożenia epidemicznego, stanu…

Czytaj dalej »

Rzeczpospolita: w ramach tarczy kryzysowej poczta ma otwierać (niektóre) koperty zawierające wrażliwą korespondencję. [update: MC dementuje (mają być otwierane za zgodą adresata)]

05 kwietnia 2020, 12:50 | W biegu | komentarzy 7
Rzeczpospolita: w ramach tarczy kryzysowej poczta ma otwierać (niektóre) koperty zawierające wrażliwą korespondencję. [update: MC dementuje (mają być otwierane za zgodą adresata)]

W tarczy antykryzysowej zmiana prawa pocztowego? Czemu nie? ;-( Otóż „Rzeczpospolita” donosi: Z projektu wynika, że rząd na dużą skalę chce upowszechnić tzw. przesyłki hybrydowe. W skrócie oznacza to, że Poczta Polska będzie masowo otwierać koperty, a następnie przesyłki skanować i dostarczać je elektronicznie. Przepis ma dotyczyć obecnie listów wysyłanych:…

Czytaj dalej »

Odzyskał z zaszyfrowanego zip-a bitcoiny o wartości > 1 miliona PLN. Kod na GitLabie.

04 kwietnia 2020, 23:28 | W biegu | 0 komentarzy
Odzyskał z zaszyfrowanego zip-a bitcoiny o wartości > 1 miliona PLN. Kod na GitLabie.

Coż, domyślne „szyfrowanie” w archiwach zip nie jest zbyt mocne. Przypomina o tym ta historia, opowiedziana przez Michaela Staya. Otóż pewnego dnia zgłosił się do niego Rosjanin z pytaniem o możliwość złamania pewnego zahasłowanego zipa. Michael podrapał się po głowie, przypomniał sobie o własnej pracy sprzed 19 lat, wziął kalkulator w dłonie,…

Czytaj dalej »

CitizenLab: Zoom – szyfrowanie mizerne, a klucze są czasem przesyłane z chińskich serwerów…

04 kwietnia 2020, 19:08 | Aktualności | 0 komentarzy
CitizenLab: Zoom – szyfrowanie mizerne, a klucze są czasem przesyłane z chińskich serwerów…

W telegraficznym skrócie takie wnioski z najnowszej analizy popularnego systemu konferencyjnego Zoom wyciągnęła ekipa The Citizen Lab. W dokumentacji czytamy, że Zoom używa 256 bitowych kluczy AES – tymczasem rzeczywistość okazuje się nieco mniej bezpieczna: W każdym spotkaniu Zooma, do szyfrowania/deszyfrowania audio i video używany jest pojedynczy 128-bitowy klucz AES, dzielony…

Czytaj dalej »

Google publikuje dane z geolokalizacji (zagregowane). Aż 131 krajów – w tym Polska. #COVID19

03 kwietnia 2020, 19:46 | W biegu | komentarze 3
Google publikuje dane z geolokalizacji (zagregowane). Aż 131 krajów – w tym Polska. #COVID19

Dane dostępne są na tej stronie i dostępne do pobrania w PDF (po wyborze konkretnego kraju, który nas interesuje – np. Polska). W środku znajdziemy różne kategorie – np. parki, sklepy spożywcze, miejsca pracy, stacje transportu publicznego, itp: Dane są opóźnione o parę dni w stosunku do dnia dzisiejszego i pokazują…

Czytaj dalej »

Bezpłatny webinar dla programistów: czym są ciasteczka SameSite? sekurak.tv, sobota 4.04.2020, godzina 16:00

03 kwietnia 2020, 13:19 | W biegu | 0 komentarzy
Bezpłatny webinar dla programistów: czym są ciasteczka SameSite? sekurak.tv, sobota 4.04.2020, godzina 16:00

Już dziś zaczyna się HackYeah, w ramach którego Michał Bentkowski poprowadzi webinar na temat atrybutu SameSite w ciasteczkach. Dowiemy się, czym ten atrybut jest, przed jakimi atakami chroni i jak powinno się go używać. Webinar zaczyna się w sobotę (4 kwietnia) o 16:00 i potrwa ok. 45 minut. Materiał będzie…

Czytaj dalej »

Czy popularny system konferencyjny Zoom jest bezpieczny? Mamy złe i dobre wieści

03 kwietnia 2020, 10:06 | Aktualności | komentarze 2
Czy popularny system konferencyjny Zoom jest bezpieczny? Mamy złe i dobre wieści

Zoom stał się ostatnio jedną z najpopularniejszych platform służących do zdalnych spotkań/szkoleń/konferencji. Z bezpieczeństwem rozwiązania było zawsze różnie – już w 2019 roku informowaliśmy o możliwości nieoczekiwanego przejęcia kamery ofiary na systemach macOS: wystarczyło u siebie uruchomić konferencję oraz umieścić w źródłach strony HTML np. taki „obrazek”: <img src=”http://localhost:19421/launch?action=join&confno=492468757″/> i po wejściu…

Czytaj dalej »

Błąd warty 300 000 PLN: możliwość nieautoryzowanego dostępu do kamery na iPhoneach/MacBookach (przez Safari)

02 kwietnia 2020, 21:09 | W biegu | 0 komentarzy
Błąd warty 300 000 PLN: możliwość nieautoryzowanego dostępu do kamery na iPhoneach/MacBookach (przez Safari)

Jak szybko zarobić 75 000 dolarów? Wystarczy znaleźć błąd pozwalający na nieautoryzowany dostęp do kamerki w Safari (zarówno na macOS, jak i iOS)! A właściwie nie jeden błąd, a serię siedmiu błędów, takich jak znalazł Ryan Pickren podczas analizy bezpieczeństwa modelu uprawnień do kamery. Trzy z tych błędów były potrzebne…

Czytaj dalej »

Jak na niektórych TP-Linkach można dostać roota bez uwierzytelnienia? Oglądaj nas dzisiaj na żywo o 20:00

01 kwietnia 2020, 16:46 | W biegu | komentarze 4
Jak na niektórych TP-Linkach można dostać roota bez uwierzytelnienia? Oglądaj nas dzisiaj na żywo o 20:00

Wielu z Was regularnie już ogląda materiały na sekurak.tv – bieżący harmonogram wydarzeń możecie zobaczyć tutaj. Dzisiaj (1.04.2020) wieczorem (20:00) Grzesiek Wypych na żywo zaprezentuje ciekawego buga (CVE-2019-7406): możliwość wykonania poleceń w OS jako root na wybranych modelach urządzeń TP-linka. Podatność nie wymaga wcześniejszego uwierzytelnienia. Bezpośredni link do streama tutaj. Na…

Czytaj dalej »

Wyciekły dane osobowe ~wszystkich głosujących na Malcie (dump MySQLa dostępny publicznie na serwerze testowym)

01 kwietnia 2020, 14:07 | W biegu | 0 komentarzy
Wyciekły dane osobowe ~wszystkich głosujących na Malcie (dump MySQLa dostępny publicznie na serwerze testowym)

Dumpa znaleziono w na serwerze firmly C-Planet – dostarczającej usługi IT. Wygląda to trochę na serwer testowy ;-) choć niczego nie można być w tej sytuacji pewnym. Może to taka trochę testo-produkcja. W każdym razie z tajemniczej bazy o nazwie elec_registry wyciekło około 330 tysięcy rekordów danych osobowych, a można…

Czytaj dalej »