Aktualności

Masz Microsoft Exchange? Zobacz, dlaczego ostatnia podatność jest inna niż znane wcześniej

07 marca 2021, 14:25 | Aktualności | komentarzy 10
Masz Microsoft Exchange? Zobacz, dlaczego ostatnia podatność jest inna niż znane wcześniej

Microsoft Exchange Server jest rozwiązaniem, które od prawie ćwierć wieku wyznacza pewien standard pracy grupowej. Warto pamiętać, że jest to nie tylko serwer pocztowy, a połączone z Outlookiem środowisko, pozwalające pracować w sposób, bez którego pracownicy największych firm na świecie nie wyobrażają sobie realizacji swoich codziennych zadań. Nie bez powodu porównuje…

Czytaj dalej »

Zapowiedź drugiej części książki: „Bezpieczeństwo aplikacji webowych”. Zerknijcie na spis treści. Wasze propozycje?

04 marca 2021, 18:38 | Aktualności | komentarzy 26
Zapowiedź drugiej części książki: „Bezpieczeństwo aplikacji webowych”. Zerknijcie na spis treści. Wasze propozycje?

Po sukcesie pierwszej książki zaczęliśmy prace nad drugą (trwa już pisanie pierwszych tekstów). Tematyka będzie podobna jak w pierwszym tomie i nie będzie to omówienie „zaawansowanych tematów” – a po prostu innych. Wersja beta spisu treści wygląda tak: 1. Testy penetracyjne Chciałbym zostać pentesterem aplikacji webowych – jak zacząć, gdzie…

Czytaj dalej »

Używasz Exchange? Lepiej szybko się łataj. Aktywnie exploitowane luki umożliwiające bez uwierzytelnienia: odczyt wszystkich maili ze skrzynek, wykonanie kodu na serwerze (RCE)

03 marca 2021, 14:53 | Aktualności | 0 komentarzy
Używasz Exchange? Lepiej szybko się łataj. Aktywnie exploitowane luki umożliwiające bez uwierzytelnienia: odczyt wszystkich maili ze skrzynek, wykonanie kodu na serwerze (RCE)

Zobaczcie na krytyczną podatność opisaną tutaj. Microsoft pisze: Microsoft Exchange Server Remote Code Execution Vulnerability Dodając że podatność jest aktywnie exploitowana, cytując przede wszystkim Orange Tsai oraz Volexity. Orange pisał niedawno tak: Mam tu kilka bugów dających w sumie pre-auth RCE. To jest być może najpoważniejsza grupa podatności, którą znalazłem…

Czytaj dalej »

CVE-2021-21315: omówienie luki w popularnej paczce Node.js

02 marca 2021, 23:35 | Aktualności | 1 komentarz
CVE-2021-21315: omówienie luki w popularnej paczce Node.js

Jak wynika z tego raportu, popularna paczka Node.js “systeminformation” posiadała podatność  (CVE-2021-21315) typu “command injection”. W artykule znajduje się prosty “Proof of Concept”, który pomoże w zrozumieniu samej podatności. Zacznijmy jednak od wyjaśnienia, czym właściwie jest “systeminformation”. Biblioteka “systeminformation”  Więcej na temat tej biblioteki znajdziemy na npmjs.com: Jak widać na…

Czytaj dalej »

zapraszamy na marcowe remote Sekurak Hacking Party – będzie o phishingu oraz sensownej segmentacji sieci

01 marca 2021, 18:07 | Aktualności | komentarzy 7
zapraszamy na marcowe remote Sekurak Hacking Party – będzie o phishingu oraz sensownej segmentacji sieci

Zapraszamy na kolejną edycję naszego spotkania on-line :) (dostęp do nagrania edycji lutowej możecie jeszcze wykupić tutaj). Tym razem startujemy: 29.03.2020r., o godzinie 20:00 Agenda: Dorota Kulas – phishing na poważnie, czyli jak łowić cicho i skutecznie W czasie mojej prezentacji przedstawię kampanię phishingową od A do Z, z punktu…

Czytaj dalej »

Poszukiwany elastyczny człowiek z umiejętnościami włamywania się do aplikacji (poszukują pentestera :)

25 lutego 2021, 10:25 | Aktualności | 0 komentarzy
Poszukiwany elastyczny człowiek z umiejętnościami włamywania się do aplikacji (poszukują pentestera :)

Zerknijcie na ofertę pracy firmy Vercom (z którą swoją drogą współpracujemy w ramach pentestów, CV możecie złożyć tutaj). Twoim głównym zadaniem będzie prowadzenie testów penetracyjnych i zadbanie o bezpieczeństwo wszystkich naszych aplikacji (zarówno tych istniejących jak takich, które dopiero powstają). Będziesz mógł również pobuszować w naszej infrastrukturze i wykorzystać znalezione…

Czytaj dalej »

Przetarg w urzędzie na odszyfrowanie danych po ransomware? Zapłata w PLN nie BTC ;-) Bohater? System geodezyjno- kartograficzny w Oświęcimiu

24 lutego 2021, 21:26 | Aktualności | komentarzy 57
Przetarg w urzędzie na odszyfrowanie danych po ransomware? Zapłata w PLN nie BTC ;-) Bohater? System geodezyjno- kartograficzny w Oświęcimiu

U schyłku ubiegłego roku cytowaliśmy geoforum: Serwer z bazami danych Powiatowego Ośrodka Dokumentacji Geodezyjnej i Kartograficznej w Oświęcimiu został 13. października zablokowany przez hakerów – taką wiadomość otrzymali lokalni geodeci (…)  W związku z tym nie ma możliwości zgłaszania prac, udostępniania materiałów, przyjmowania prac geodezyjnych do zasobu, a także składania…

Czytaj dalej »

Cisco SecUniversity – zapraszamy na serię bezpłatnych prezentacji (w tym naszą o łamaniu haseł)

23 lutego 2021, 13:58 | Aktualności | komentarze 4
Cisco SecUniversity – zapraszamy na serię bezpłatnych prezentacji (w tym naszą o łamaniu haseł)

Poprzednia edycja SecUniversity zakończyła się dużym sukcesem – po ogłoszeniu przez nas zapisów, szybko skończyły się miejsca. Ale teraz czas na drugą edycję wydarzenia (tym razem bez limitu miejsc). A żeby było ciekawiej organizatorzy zapytali uczestników, o czym chcieliby słyszeć na kolejnej edycji i na tej podstawie została przygotowana agenda….

Czytaj dalej »

Ataki DDoS w Q4 2020 wg Kaspersky. Zgadnijcie na którym miejscu jest Rosja.

20 lutego 2021, 22:36 | Aktualności | komentarzy 5
Ataki DDoS w Q4 2020 wg Kaspersky. Zgadnijcie na którym miejscu jest Rosja.

„Laboratorium Kaspersky” opublikowało nowy raport dotyczący ataków typu DDoS, zrealizowanych w IV kwartale 2020. W okresie tym zaobserwowano na tyle ciekawe tendencje, że warto, aby czytelnicy Sekuraka poznali nowe trendy w tej formie ataku. Na początku, kilka danych statystycznych z raportu. W czwartym kwartale najwięcej ataków DDoS przeprowadzono z Chin…

Czytaj dalej »

Nowe szkolenia od Sekuraka + rabaty na pakiety -25%

15 lutego 2021, 16:26 | Aktualności | 0 komentarzy
Nowe szkolenia od Sekuraka + rabaty na pakiety -25%

Chyba każdy z Was znajdzie w naszych propozycjach szkoleniowych coś ciekawego. Bezpieczeństwo Windows, OSINT, recon infrastruktury IT, bezpieczeństwo WiFi, monitorowanie sieci, ochrona przed atakami socjotechnicznymi czy bezpieczeństwo aplikacji mobilnych,… A wszystko to nastawione na praktykę, z budżetami nawet w zasięgu prywatnej kieszeni, w wersji on-line oraz z dostępem do pełnego…

Czytaj dalej »

Prywatność korespondencji, czyli o Tutanota słów kilka…

15 lutego 2021, 11:57 | Aktualności | komentarzy 9
Prywatność korespondencji, czyli o Tutanota słów kilka…

Ostatnio na Sekuraku opublikowaliśmy poradnik do Signala. Jeśli jeszcze się z nim nie zapoznałeś, to gorąco zachęcamy. Tym razem dowiesz się jak zadbać o swoją prywatność, korzystając z szyfrowanej poczty elektronicznej. Na celownik weźmiemy serwis Tutanota. Jest to kontynuacja poradnika dla osób nietechnicznych. Tutanota Tutanota – Jest to darmowy, otwartoźródłowy…

Czytaj dalej »

Ruszamy z kolejnym remote Sekurak Hacking Party. Rejestr Windows/Ransomware/Bettercap

10 lutego 2021, 16:31 | Aktualności | 0 komentarzy
Ruszamy z kolejnym remote Sekurak Hacking Party. Rejestr Windows/Ransomware/Bettercap

remote Sekurak Hacking Party strikes back ;-) Tym razem, w trakcie wydarzenia dostępnego w trybie on-line opowiemy o takich tematach: Grzegorz Tworek: Rejestr Windows. Czym jest, jak działa i jak nad nim choć trochę zapanować Przez wiele lat swojego istnienia rejestr Windows obrósł legendami. Oczywiście, można w paru miejscach znaleźć niezły…

Czytaj dalej »

Zaskakująca metoda infekcji wielkich (i mniejszych) firm. Wykonali swój kod w systemach: Apple, Netflixa, Shopify, Ubera, PayPala, Microsoftu… końca nie widać!

09 lutego 2021, 19:49 | Aktualności | komentarzy 8
Zaskakująca metoda infekcji wielkich (i mniejszych) firm. Wykonali swój kod w systemach: Apple, Netflixa, Shopify, Ubera, PayPala, Microsoftu… końca nie widać!

Dla tych, którzy lubią czytać w oryginale – opis całej akcji tutaj. Dla tych, którzy mają mało czasu – badacze zuploadowali swoje pakiety o odpowiednich nazwach do popularnych repozytoriów (typu npm). W środku rzeczywiście zawarli własny kod, który wykonał się w infrastrukturach firm z tytułu. Wynik działania kodu wysłali do…

Czytaj dalej »

Ransomware zainfekował CD Projekt! Grożą również ujawnieniem kodów źródłowych

09 lutego 2021, 09:36 | Aktualności | komentarzy 12
Ransomware zainfekował CD Projekt! Grożą również ujawnieniem kodów źródłowych

Firma przekazała informację na Twitterze: Czytamy tutaj [wolne tłumaczenie – sekurak]: Wczoraj [8.02.2021] odkryliśmy, że staliśmy ofiarą wycelowanego cyber ataku, w wyniku którego część naszych systemów została zainfekowana. Niezidentyfikowana osoba uzyskała dostęp do naszych wewnętrznych sieci i pozyskała informacje należące do grupy kapitałowej CD Projekt oraz zostawiła informację o okupie….

Czytaj dalej »

Co każdy powinien wiedzieć o socjotechnice / phishingu? Praktyczna dawka wiedzy od sekuraka

08 lutego 2021, 12:21 | Aktualności | 0 komentarzy
Co każdy powinien wiedzieć o socjotechnice / phishingu? Praktyczna dawka wiedzy od sekuraka

Tym razem zapraszamy Was na zupełnie unikalne w Polsce szkolenie o socjotechnice oraz phishingu. Całość opracowana została przez Dorotę Kulas, która parę miesięcy temu oczarowała publiczność wydarzenia Oh My Hack swoją świeżą prezentacją: jej prelekcja o phishingu na pewno zostanie na długo zapamiętana przez uczestników. Dorota, zgodnie z obietnicą, zabrała…

Czytaj dalej »