W biegu

We wtorek 5 maja realizowaliśmy bezpłatnie i publicznie szkolenie “Poznaj 10 grzechów administratora sieci”, które poprowadził Piotr Wojciechowski – jeden z najbardziej doświadczonych sieciowców na świecie, który posiada certyfikat CCIE #25543.  Idąc za ciosem i rozszerzając materiał, stworzyliśmy ten artykuł z myślą o osobach które poważnie myślą o hardeningu swojej…

Bardzo dawno czegoś takiego nie było. Chrome załatał właśnie bardzo dużą paczkę podatności: Z czego 3 są krytyczne (za zgłoszenie jednej wypłacono $43000 nagrody) oraz 31 poważnych (tzw. High). Jak widać na zrzucie powyżej, dużo luk zostało wykrytych wewnętrznie przez zespół Google. Łatajcie się do Chrome 148.0.7778.96/97. ~ms

Patryk przesłał nam informację o infekcji strony rzeszowskiejuwenalia[.]pl Nasz czytelnik odwiedził tę stronę i natknął się na taki widok: Sam obrazek jeszcze niewiele zdradza, ale… po kliknięciu strona prosiła aby nacisnąć kolejno klawisze: Windows+R, Ctrl+V oraz enter. O co tutaj technicznie chodzi? Po kliknięciu: I’m not a robot – strona…

Pamiętacie Dirty Pipe? Łataliście ostatnio  Copy Fail? Pasy zapięte? Nie? To niedobrze, bo kilka godzin temu pojawiła się nowa podatność określona mianem Dirty Frag. W ramce poniżej znajduje się tymczasowe rozwiązanie mające na celu wyłączenie niebezpiecznych modułów. Jest to luka klasy LPE (local privilege escalation), która pozwala na podniesienie uprawnień…

Rafał podesłał nam takiego SMSa: Zwróć uwagę na to, że: Wygląda to w następujący sposób: I dalej: Pamiętaj, że ~dowolną nazwę nadawcy SMSa można sfałszować. Nie podawaj danych karty płatniczej / danych logowania do banku – na stronach, których nie znasz! ~ms

Badacze bezpieczeństwa z CTM360 opublikowali raport zawierający szczegóły kampanii wymierzonej w użytkowników Telegrama. Złośliwa infrastruktura, nazwana przez analityków FEMITBOT jest dystrybuowana za pomocą Telegram Mini Apps, czyli lekkich aplikacji webowych osadzonych wewnątrz komunikatora. Ich głównym przeznaczeniem jest wsparcie użytkownika poprzez oferowanie m.in. narzędzi biznesowych, obsługę płatności, portfele kryptowalutowe dostosowane stylem…

W dzisiejszym IT granica między administratorem, sieciowcem i helpdeskiem coraz bardziej się zaciera. Musisz robić wszystko naraz – gasić pożary, analizować logi, konfigurować, debugować i odpowiadać użytkownikom – najczęściej w tym samym czasie. Jednym słowem – robić za człowieka orkiestrę, na co, powiedzmy sobie szczerze, nikt z nas nie ma…

Badacz bezpieczeństwa Jeremy Brown, znany z odkrywania luk (memory corruption) w ogólnodostępnych narzędziach, po raz kolejny udowodnił, że innowacyjne metody oraz nieszablonowe działania pozwalają wychwycić błędy, które przez lata pozostawały niewidoczne. Korzystając ze wsparcia sztucznej inteligencji udało mu się wykryć poważną podatność w silniku Ollama, skutkującą możliwym wyciekiem danych z…

Zapraszamy przedstawicieli małych i średnich przedsiębiorstw produkcyjnych na bezpłatne szkolenie, połączone z oceną podatności sieci przemysłowej🛡️. W dniach 21–22 maja w Hotelu Termalnym w Uniejowie odbędzie się szkolenie, podczas którego uczestnicy dowiedzą się, jak zadbać o bezpieczeństwo firmy: od zabezpieczeń produkcji po świadomość zespołu. Program szkolenia skupia się na tym,…

Jako partner medialny konferencji IT Unplugged 2026 zapraszamy na konkretne, techniczne sesje – w tym wystąpienia Michała Sajdaka i Tomasza Turby o analizie realnych incydentów i starciu hakerów ze sztuczną inteligencją. Poniżej znajdziecie skrót najważniejszych punktów agendy od organizatorów: Co łączy olimpijskiego mistrza świata w żeglarstwie, eksperta od ataków socjotechnicznych,…

Nowa podatność w jądrze Linuksa jest klasy local privilege escalation (więc wymaga posiadania przez atakującego konta w docelowym systemie). Badacze udostępnili 732-bajtowego exploita w Pythonie działającego na głównych dystrybucjach: RHEL, Ubuntu, SUSE, Amazon Linux. Czyli atakujący uruchamia na docelowym systemie prosty skrypcik i po chwili uzyskuje uprawnienia roota. Exploit jest…

Mechanizm CAPTCHA to nic innego jak proste zadania polegające na przepisaniu zniekształconych wyrazów, zaznaczeniu niepasujących elementów lub odpowiednim ustawieniu brakującego obrazka. Stał się na tyle popularny i powszechny, że wykonujemy go niemal mechanicznie bez większego zastanowienia. Rozwiązujemy zadanie, zaznaczamy checkbox (o ile taki istnieje), że “jesteśmy człowiekiem” i czekamy na…

Badacze z StepSecurity odkryli złośliwe aktualizacje pakietu pgserve w npm. Jest to narzędzie do uruchamiania lokalnych baz PostgreSQL do developmentu / testów. Zainfekowane wersje (1.1.11, 1.1.12 i 1.1.13) wstrzykują 1143-liniowy skrypt wykradający poświadczenia użytkownika. Jest on uruchamiany przy instalacji przez hook postinstall. TLDR: Nie jest to jednak “zwykły” infostealer, bo…

Tym razem konferencja będzie trwała dwa dni (26-27.10.2026) i zwiększamy liczbę ścieżek. Każda ścieżka trwa od pół do pełnego dnia. Jedyny wyjątek to ścieżka EXEC, która będzie trwała dwa dni.

Link do zgłoszenia swojej prezentacji – w treści wpisu :-)

Badacze z Pluto Security odkryli krytyczną podatność (9,8 w skali CVSS), która pozwalała modyfikować konfigurację nginx na serwerze korzystającym z Nginx UI. Otrzymała ona numer CVE-2026-33032. Nginx UI to narzędzie do zarządzania serwerem i monitorowaniem jego stanu za pomocą panelu webowego. Repozytorium na GitHub ma prawie 11 tys. gwiazdek, a…