Pełna praca dostępna jest w tym miejscu (Drone Security and the Mysterious Case of DJI’s DroneID). W skrócie: DJI udostępnia (tj. sprzedaje) służbom – np. analizującym przestrzeń powietrzną w okolicach lotnisk – urządzenie o nazwie AeroScope. Ma ono możliwość namierzania dronów (oraz ich operatorów). Jak to działa? Po badaniach okazało…
Czytaj dalej »
Na naszej grupie Sekurak na Facebooku jeden z naszych Czytelników zadał pytanie, jak to możliwe, że mając uwierzytelnianie dwuskładnikowe 2FA, ktoś był w stanie zhakować i przejąć strony, którymi zarządzał. Niestety jest kilka możliwych scenariuszy, które przedstawiamy poniżej. Zacznijmy od początku Zaczęło się od powiadomienia na Facebooku, że zaproszenie do…
Czytaj dalej »
O sprawie donosi Rzeczpospolita, a szczegóły decyzji UODO można zobaczyć tutaj: Środki organizacyjne i techniczne powinny się uzupełniać. Zaczęło się od zgłoszenia zagubienia dwóch nieszyfrowanych / prywatnych pendriveów przez pracowników Sądu Rejonowego Szczecin-Centrum. Sprawa była analizowana przez UODO, a teraz mamy decyzję – 30 000 zł kary: Zgłoszone przez administratora naruszenie ochrony…
Czytaj dalej »
Daniel przesłał nam taką historię: Kilka dni temu otrzymałem propozycję współpracy w zakresie konsultacji dotyczącej płatnej kampanii na FB od tego gościa https://lnkd[.]in/dqG_ieqr W wielkim skrócie. Na początku zwyczajna rozmowa, linki do profili, strony www. Zaproponowałem spotkanie na Google Meet, w odpowiedzi dostałem link do iCloud z materiałami do zapoznania się….
Czytaj dalej »
Jeśli jesteś przedsiębiorcą i chcesz zapewnić swoim pracownikom możliwość rozwoju oraz zwiększyć ich kompetencje, możemy Ci zaoferować wszystkie nasze szkolenia za darmo. Ich pełna lista znajduje się tutaj. Zapraszamy do przeczytania poniżej co trzeba zrobić by skorzystać z dofinansowania programu KFS. Czym jest KFS? Krajowy Fundusz Szkoleniowy to program rządowy, którego…
Czytaj dalej »
Usługi systemowe systemu Windows są z punktu widzenia atakującego bezcennym mechanizmem. Wynika to z paru niezależnych, dobrze uzupełniających się cech: Oczywiście atakujący najpierw musi mieć wysokie uprawnienia, dopiero później może zmieniać konfigurację usług. Zwykły użytkownik jest zazwyczaj ograniczony do ich przeglądania, ewentualnie pytania o aktualny stan. Jednak w przypadku, kiedy…
Czytaj dalej »
Już 15 marca 2023 roku o godz. 10:00 zapraszamy na trzecią edycję naszego szkolenia „Nie daj się cyberzbójom”! Szkolenie jest bezpłatne, choć oczywiście zachęcamy do wsparcia dowolną kwotą. Pozwoli to nam przygotować więcej takich wydarzeń w przyszłości. Dla wytrwałych, którzy przeczytają uważnie artykuł, mamy niespodziankę 😊 Uwaga! Materiał jest zupełnie…
Czytaj dalej »
Odmienne osobowości i charaktery, odmienne style zarządzania. Każdy menadżer jest inny. Mimo różnic łączy ich troska o dobro przedsiębiorstwa lub instytucji, którą zarządzają. Na co dzień pochłania ich wiele kwestii, niestety te dotyczące bezpieczeństwa IT nieczęsto znajdują się w głównej sferze ich zainteresowań. Eksperci Stormshield, wytwórcy rozwiązań z obszaru cyberbezpieczeństwa,…
Czytaj dalej »
Tym razem otrzymaliśmy od jednego z naszych Czytelników próbkę złośliwego oprogramowania wykradającego poświadczenia przechowywane w przeglądarkach i jest to stealer podobny do opisywanego już wcześniej. Nota bene: przed publikacją artykułu, wysłaliśmy powiadomienia do zespołów CERT Polska, CSIRT KNF oraz CERT Orange. Tak jak w poprzednim przypadku, malware rozsyłany jest e-mailami…
Czytaj dalej »
Poniżej subiektywny wybór newsów / ciekawostek / ostrzeżeń, które publikowaliśmy w styczniu 2023r. na sekuraku. Jeśli podoba się Wam zestawienie – podeślijcie linka znajomym oraz koniecznie dajcie znać w komentarzu. Jeśli Wasz odzew będzie pozytywny – będziemy kontynuować tego typu zestawienia (częściej niż raz na miesiąc :-) SEKURAK (scamy, ciekawostki,…
Czytaj dalej »
Do tej pory nasze publicznie raporty z testów bezpieczeństwa możecie pobrać tutaj, tutaj, tutaj czy tutaj (wszystkie te firmy wyraziły formalną zgodę na publikację raportów). Wszystkich komercyjnych projektów realizujemy całkiem sporo, w 2022 roku było to około 6500 pełnych dni hackowania (pentestowania), które dostarczyliśmy w ramach Securitum komercyjnie. Jeśli chciałbyś dla…
Czytaj dalej »
Tutaj krótka analiza użycia algorytmu PBKDF2 w Bitwardenie. W skrócie – odpowiednie użycie PBKDF2 znacznie zwiększa czas łamania głównego hasła do menadżera, w przypadku gdyby doszło do hipotetycznego ataku na jego infrastrukturę IT (podobnie jak miało to miejsce w przypadku LastPass). Ale żeby wszystko działało zgodnie z zamierzeniami, potrzebna jest…
Czytaj dalej »
Jeden z czytelników przesłał nam dzisiaj rano takie zdjęcie: Z ciekawostek – tutaj lokalizacja tego miejsca na Google Street View: Gdzie prowadzi QR kod? Do adresu: drive.proton[.]me (usługa storage cloudowego od Protona). Tam z kolei plik .doc: oświadczenie_o_cudzoziemcach_przebywających_w_rp.doc wyglądający mniej więcej tak: Czy plik jest złośliwy? Wygląda na to, że…
Czytaj dalej »
Wersja clickbaitowa: „dzięki WiFi można widzieć przez ściany„. No dobra, przez ściany nie można widzieć z wykorzystaniem WiFi, ale być może osiągnięcie tego celu jest blisko. Pod koniec zeszłego roku pokazano drona, który jest w stanie „widzieć” urządzenia WiFi, które znajdują się za ścianą budynku. „Widzieć”, w sensie wskazać ich…
Czytaj dalej »
Ciekawa podatność, za którą Google wypłacił $13337. Jeśli wczytacie się w opis problemu, to w zasadzie… nie ma tam żadnego hackingu. Badacz zaczął od prób dobicia się (z poziomu Internetu) do pewnego adresu IP Googla, ale nieskutecznie. Na drodze stawał ekran logowania (Google Proxy). Żadna próba obejścia nie działała, a…
Czytaj dalej »
