Chodzi o tę pozycję (link do PDFa z opisem tutaj, bezpośredni link do pobrania tutaj): Dlaczego warto? Książka jest przygotowana naprawdę od podstaw – czyli buduje wiedzę o arsenale narzędzi: ls, cat, date, pwd, cd, less, more, … (a to tylko pierwsze trzy mikro rozdziały). Właśnie – książka podzielona jest…
Czytaj dalej »
Tutaj dość rozbudowany opis trwającej kampanii o dość mało oryginalnej nazwie: EmailThief. Celem jest Zimbra, czyli: Secure Private Business Email & Collaboration Badacze nadmieniają, że wśród organizacji które są atakowane, znajdują się m.in. europejskie instytucje rządowe oraz media. Napastnicy wykorzystują lukę XSS (pod tym linkiem dajemy za darmo cały rozdział…
Czytaj dalej »
Jak pewnie wielu z Was, dostałem niedawno od księgowej PIT-a za 2021 rok. PDF z hasłem + dodatkowa informacja: hasłem jest PESEL. Tu część z Was może pomyśleć, dobra, słabe hasło, nie ma co czytać dalej. Ale w całej historii czeka nas jeszcze parę drobnych zwrotów akcji… OK, bierzemy się…
Czytaj dalej »
Nietypową wiadomość od pewnej korporacji otrzymał Daniel Stenberg, twórca m.in. narzędzia curl, czyli klienta HTTP działającego w terminalu. Firma o dochodach 500 miliardów dolarów „poprosiła” go o odpowiedź na osiem pytań dotyczących możliwego wpływu podatności Log4j na jeden z jego programów na licencji open source, który jest używany w tej…
Czytaj dalej »
Nowa kampania (o której donoszą nam czytelnicy – dzięki!) ma kilka różnych wariantów. Przy okazji zobaczcie od kogo niby przychodzi ten SMS…: Co się dzieje dalej? Ofiara wybiera bank: Po wyborze banku, zbierane są różne dane (w zależności od banku): login/hasło/SMS wysłany podczas logowania/PESEL/PIN do appki mobilnej: Dla pewności –…
Czytaj dalej »
19-sto latek z Niemiec opisuje swoją przygodę z dostępem do samochodów tutaj. Krok po kroku cała akcja wyglądała tak: Zlokalizowanie w internecie instancji oprogramowania TeslaMate (Google, Shodan, Zoomeye …) Po podłączeniu się przeglądarką, widoczna jest tutaj lokalizacja „losowego” samochodu (tj. skonfigurowanego w instancji TeslaMate): Dalej (czyli np. zakładka Dashboards) nie…
Czytaj dalej »
Zobaczcie na to obecnie dość popularne doniesienie: Mamy tutaj zdjęcie z raportu Citizen Lab, którego fragmenty były publikowane np. w czasie konferencji prasowej Michała Kołodziejczaka. Jest tam numer seryjny „badanego telefonu”. Jak łatwo można sprawdzić, telefon to iPhone 11 Pro, który został wypuszczony na rynek we wrześniu 2019 roku, podczas…
Czytaj dalej »
Tutaj inspirujący odpis podatności – CVE-2021-45467: CWP (CentOS Web Panel) – preauth RCE. Zobaczcie ten fragment kodu: Może dałoby się podać wartość zmiennej scripts jako ../../../ i tym samym zaincludować jakiś inny plik z serwera? Nie da się! Bo wredny system od razu wykrywa „hacking attempt”. Wykrycie to znajduje się…
Czytaj dalej »
Jak to możliwe? W skrócie – wykryty malware (nazwa kodowa MoonBounce) wykorzystuje pamięć flash na płycie głównej i wpływa na proces bootowania całego systemu, infekując go. Wymieniłeś nawet cały dysk? Ale przecież nie wymieniłeś płyty głównej…: Due to its emplacement on SPI flash which is located on the motherboard instead…
Czytaj dalej »
![Poszukują do pracy człowieka od Magento [a my dajemy Wam trochę gadgetów sekuraka!]](https://sekurak.pl/wp-content/uploads/2019/09/progra-150x150.jpeg "Poszukują do pracy człowieka od Magento [a my dajemy Wam trochę gadgetów sekuraka!]")
Jeśli chcecie dowiedzieć się trochę o firmie – polecamy przeczytać sekurakowy wywiad z Jakubem Nadolnym – CEO Fast White Cat: „Skoro działa, to po co ruszać”, czyli o niebezpiecznych decyzjach klientów i codzienności software house. Jeśli chcecie zobaczyć wymagania do obecnej rekrutacji w Fast White Cat – czytajcie dalej [uwaga…
Czytaj dalej »
Historię konta swojej mamy przesłał nam jeden z czytelników. Co się wydarzyło? Mama nie mogła zalogować się do Facebooka od poniedziałku (10.01.2022). Sprawdziłem i zostało zmienione hasło na Facebooku na koncie mamy [konto zostało zhackowane – przyp. sekurak]. Goniąc myślami chciałem odzyskać hasło i próbowałem dokonać tego poprzez adres e-mail,…
Czytaj dalej »
Sprawę opisuje w telegraficznym (twitterowym) skrócie Paweł Szramka: Paulina Matysiak ma już świadomość, że ktoś podszył pod jej numer: Czy telefon / telefony zostały zhackowane? Nie – najprawdopodobniej doszło tutaj do spoofingu numeru telefonu. W bardziej przystępnej formie: chodzi o użycie specjalnego oprogramowania (często, chociaż nie zawsze jest to po…
Czytaj dalej »
Niedawno wspominaliśmy historię z podmianą ukraińskich stron rządowych takim komunikatem (poniżej widać ewidentnie sfałszowany tekst w języku polskim, w środku były również wstawione sztucznie koordynaty GPS z Warszawy): Tymczasem Microsoft właśnie ostrzega w ten sposób: Dzisiaj dzielimy się informacją, że zaobserwowaliśmy destrukcyjne złośliwe oprogramowanie w systemach należących do wielu ukraińskich…
Czytaj dalej »
![Zhackował bezprzewodowo telewizor, który nawet nie był podłączony do internetu [film]](https://sekurak.pl/wp-content/uploads/2022/01/Zrzut-ekranu-2022-01-15-o-10.56.14-150x150.png "Zhackował bezprzewodowo telewizor, który nawet nie był podłączony do internetu [film]")
Temat użycia HbbTV do hackowania telewizorów jest znany od dłuższego czasu. W telegraficznym skrócie HbbTV działa w taki sposób: telewizor dostaje tradycyjnym sygnałem telewizyjnym (podobnie jak w telegazecie) prośbę o doczytanie zawartości multimedialnej z danego URL-a. Łączy się w tle do niego i potrafi np. na jednym ekranie (z programem TV) zaprezentować…
Czytaj dalej »
Różne media wspominają dzisiaj o „gigantycznym wycieku z wojska”. Przyjrzyjmy się mu nieco bliżej. Sam wyciek (tj. link do archiwum „System Informatyczny Jednolitego Indeksu Materiałowego”) pojawił się na jednym z forów dnia 9. stycznia 2022r. A że lubimy od czasu do czasu analizować różne fora, plik namierzyliśmy 11.01.2022 (trzy dni…
Czytaj dalej »
