Aktualności

Tavis Ormandy ujawnia szczegóły krytycznego problemu z Cloudflare. Dokładny opis opublikowała też ta ostatnia…

Kolizje funkcji hashującej to zazwyczaj koszmar kryptografów – a  szczególnie dotknięty jest w tym przypadku podpis cyfrowy. Podpis, jak pewnie wiecie, zazwyczaj jest dość krótki (nawet dużego, wielomegabajtowego dokumentu). Dlaczego? Bo robiony jest najczęściej nie z całego dokumentu, tylko np. tak: signature = RSA_SIG(SHA-1(dokument)). Co zatem jeśli znajdę dwa różne dokumenty o…

Lumière Place Casino, St Luis, USA: pewnego dnia, okazuje się że maszyny do gier wypluwają więcej pieniędzy niż pobierają. Chyba nie tak powinno działać kasyno? ;-) Do akcji wkracza się lokalne security, analizując m.in. kamery monitoringu.

Jest to jedno z częstszych pytań, które otrzymuję od dłuższego czasu W dużym skrócie, idealna karta do testów bezpieczeństwa WiFi powinna…

Tym razem nie jest to bezczelny phishing kierujący bezpośrednio do dziwnie wyglądającej domeny, na której jest hostowana niby strona ze zmianą hasła do Google.

TL;DR – różne wersje pakietu Microsoft Office w nieco losowych sytuacjach wysyłają Wasze edytowane dokumenty do Microsoftu – w celu konwersji…

13 stycznia 2017r. mieliśmy pierwsze Sekurak Hacking Party we Wrocławiu, które wzbudziło wyjątkowe zainteresowanie uczestników. W imprezie uczestniczyło około 540 osób!

W maju 2018 roku wymagane będzie spełnienie zapisów określonych w rozporządzeniu parlamentu EU w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (w skrócie: GDPR). Największym chyba problemem jest możliwa do nałożenia kara za niespełnienie wymogów…

Akcja zaczęła się od publikacji raportu firmy MedSec – działającej w porozumieniu z funduszem Muddy Waters. Ta ostatnia nazwa wydaje się podejrzana, pardon, mętna?

Tak, ma to znaczenie – raport miał obniżyć cenę akcji firmy St Jude Medical, w której urządzeniach zostały wykryte podatności.

Zupełnie przypadkiem wpadła mi w ręce, wydana listopadzie 2016 roku, książka „Hash Crack”. Nowe wersje rozmaitych narzędzi, dużo różnych przykładów i linków – na 60 stronach. Czy warto kupić?

Mamy dostępnych kilka dokumentów: dekret prezydencki w temacie, wspólne oświadczenie FBI, ODNI, DHS. Trochę technicznych konkretów mamy w raporcie tutaj. W ramach całej operacji wskazany jest też m.in. adres z Polski…

Wszyscy przyzwyczajeni jesteśmy do autoryzacji finansowych transakcji SMS-ami. Bad news – od pewnego czasu NIST chce odejść od tej metody: Out-of-band authentication using the PSTN (SMS or voice) is deprecated, and is being considered for removal in future editions of this guideline. Generator kodów na telefonie? Bad news – co z malware i dostępem do systemu transakcyjnego…

Ostatnia akcja promocyjna tego szkolenia, kierowanego do osób stawiających swoje pierwsze kroki w technicznym bezpieczeństwie IT skończyła się absolutnie pełną grupą. Tym razem mamy dla Was możliwość uczestnictwa za połowę ceny jeśli spełnicie dowolny z trzech warunków poniżej.

Startujemy z sekurak hacking party 20 grudnia w Poznaniu. Można się już finalnie zapisać. Wstęp wolny.

Badanie prowadzone na żywych systemach – 400 największych sklepów on-line (ranking Alexa). Okazuje się, że system wykrywania fraudów nie działa dla wielu prób autoryzacji, realizowanych z różnych sklepów on-line. Po drugie – różne sklepy wymagają różnych pól karty płatniczej do realizacji transakcji. Efekt – skuteczny brute-force numerów CVV2 i dat ważności.