Skondensowana, świeża wiedza, zebrana w formie bezpłatnego szkolenia on-line. Całość przeznaczona dla osób nietechnicznych (choć techniczni będą mogli uporządkować wiedzę, czy po prostu dobrze się bawić – patrz opinie z końca tego wpisu:) Agenda: Historia polskiej firmy, która w prosty sposób straciła duże pieniądze w wyniku przejęcia dostępu do poczty…
Czytaj dalej »
To nasze bezpłatne szkolenie podzielone na dwie równoległe sesje: dla osób technicznych i nietechnicznych. Całość odbywa się już za tydzień piątek, 23.04.2021r. o 20:00. Zapisy poniżej – wystarczy że podasz e-mail, linka do wydarzenia otrzymasz od razu: W planach mamy dużo pokazów na żywo, a całość to chyba najbardziej kompletna…
Czytaj dalej »
Tutaj jeden z użytkowników zgłosił następującego buga: Kiedy kopiuje się tekst do schowka, czasem wklejanie daje złe wyniki. Jest to łatwo reprodukowalne w wersji demo Waszego oprogramowania. When copying text, sometimes it gives the wrong results. It is very easy to reproduce in the demo version Dokładniej rzecz biorąc wklejenie…
Czytaj dalej »
Tymczasem idąc nieco od końca, kilka opinii uczestników o poprzedniej edycji: Polecam dla początkujących i zaawansowanych. Jeśli ktoś dopiero zaczyna swoją przygodę w reconie to jest to najlepsze i najbardziej przystępne źródło wiedzy jakie kiedykolwiek widziałem. Jestem pod wrażeniem ilości wiedzy, jaką człowiek jest w stanie zmieścić w 4h szkolenia….
Czytaj dalej »
W marcu Google Project Zero opublikował analizę kampani tajemniczej grupy, korzystającej z szeregu 0-dayów: * Dziury wykorzystane w kampanii. Podatności dotyczą między innymi systemów Windows 10, Android czy iOS, a także Chrome’a,… Badacze podkreślali stopień zaawansowania kampanii, wspominając o metodach utrudniania analizy ataków czy nowatorskim podejściu do eksploitacji Chrome’a i…
Czytaj dalej »
Jakiś czas temu “The Washington Post” poinformował o dość nietypowych atakach na posiadaczy kryptowalut. Nietypowych, bo głównym “winowajcą” zamieszania jest App Store, ale przejdźmy do konkretów… Portfel sprzętowy Trezor Trezor to portfel sprzętowy, zapewniający zaawansowane zabezpieczenia do obsługi kluczy prywatnych Bitcoin i innych kryptowalut. Urządzenie zostało zaprojektowane w taki sposób,…
Czytaj dalej »
Jakiś czas temu chińska policja we współpracy z firmą Tencent aresztowała członków grupy przestępczej, zajmującej się wytwarzaniem i dystrybucją cheatów do gier. Warto dodać, że jest to jedno z „najgrubszych” aresztowań, a potwierdzeniem tego może być chociażby kolekcja sportowych aut należących do przestępców: Zrozumienie logistyki grupy przestępczej ułatwi ten film:…
Czytaj dalej »
Ostatnio na sekuraku opublikowaliśmy kilka ciekawych tekstów na temat ransomware: Wywiad z operatorem ransomware – „Grzebałem w śmieciach, teraz jestem milionerem” Włam do Pekaes – Operatorzy ransomware DarkSide: „publikujemy ~65GB danych z włamania do firmy Pekaes” Mity i fakty o ransomware – Ransomware – zapiski z placu boju. Większe kwoty…
Czytaj dalej »
Szkolenie będzie miało formułę pokazów praktycznych. Prowadzi: Michał Sajdak. Agenda: Wycieki danych Łamanie / odzyskiwanie haseł Sprzęt / łamanie rozproszone Hashe Pliki zip / Microsoft Office / 7zip / veracrypt / bitlocker / keepass / … Sól / pieprz / tablice tęczowe Jak tworzyć praktycznie niełamalne, a łatwe do zapamiętania…
Czytaj dalej »
Ostra seria podatności tutaj. Na celowniku tym razem był jeden z systemów legal – w domenie thefacebook.com. Dokładnie rzecz biorąc – ten system. Zaczęło się od zlokalizowania ciasteczka o nazwie .ASPXAUTH Jest to ciastko sesyjne, ale jakby tu dostać się na admina? Badacz miał nosa do tego typu przypadku (doświadczenia…
Czytaj dalej »
W pierwszej połowie marca 2021 u wszystkich użytkowników GitHuba wymuszono ponowne zalogowanie się, po tym jak część użytkowników zostawała nieoczekiwanie zalogowana na cudze konta. Wczoraj GitHub opublikował szczegóły tego błędu. Opisujemy na czym on polegał.
Czytaj dalej »
Sigstore to projekt Linux Foundation opracowany przez Google i Red Hat, a służący do podpisywania kodu. Nieodłączną słabością kodów typu Open Source jest to, że trudno określić ich pochodzenie i sposób, w jaki zostały zbudowane, co oznacza, że są one podatne na ataki w łańcuchu dostaw. Google postanowiło rozwiązać ten…
Czytaj dalej »
Dwa dni temu informowaliśmy o pożarze w serwerowni OVH w Strasburgu. Incydent ten był przyczyną problemów z dostępnością wielu serwisów, takich jak chociażby Lichess, VeraCrypt, Rust, Bonito, Baselinker, Imagify, czy Bad Packets. Jeśli przegapiłeś całą akcję, to zapraszamy tutaj. Film informacyjny Jak zwykle bywa z tego typu incydentami, klienci domagają…
Czytaj dalej »
a dokładniej: mialemwyciek.pl – to nasz nowy projekt, nad którym pracujemy. Znajdziecie tam: Gotowe procedury (docx) do własnego wykorzystania w przypadku wycieku (w podziale na firmowe / prywatne) Gotowe wzory zgłoszeń do Prokuratory, Policji, UODO Informacje o tym jak zazwyczaj dochodzi do wycieku + filmiki ilustrujące zagadnienie (dla osób technicznych…
Czytaj dalej »
Całość to pokłosie Operacji Panoptykon. Hackerzy uzyskali dostęp do samych kamer (dostęp root) – w szczególności do live feedów czy zdjęć. Bloomberg wspomina o 150 000 ~podatnych kamerach. Przykłady poniżej. Więzienie: Warsztat należący wg relacji do Tesli: Czy powiedzmy nie do końca zgodne z BHP wyjście ewakuacyjne: Na jednym ze…
Czytaj dalej »
