Największa zmiana dotyczy chyba użytkowników pracujących pod Windows – nowy nmap dostarczany jest z biblioteką npcap (umożliwiającą odbieranie / wysyłanie pakietów) w wersji 1.0 – po siedmiu latach autor doszedł do wniosku, że wreszcie jest ona dojrzała :-) Poza tym mamy dużo nowych modułów umożliwiających fingerprint czy to usług czy…
Czytaj dalej »
Do maratonu przystąpiło pięciu zawodników. Czas: 3 miesiące. Cel: systemy firmy Apple dostępne z Internetu. Efekt? Zgłoszonych 55 podatności (w tym 11 krytycznych, 29 ważnych (kategoria: High)). Wypłata: $288 500 – w ramach oficjalnego programu bug bounty. Warto zaznaczyć, że Apple posiada ogromną klasę adresową 17.0.0.0/8 (to potencjalnie ponad 16 milionów…
Czytaj dalej »
CVE-2020-15808 mówi o błędzie w bibliotece do obsługi USB na popularnych procesorach STM32 dostarczanych przez STMicroelectronics. Jeśli podłączacie jakieś urządzenie przez USB, komunikuje się ono z drugą stroną za pomocą… protokołu USB :) Co jeśli wysłać by tutaj nieco zmodyfikowane pakiety? Jak się okazuje, czasem możemy pobrać aż 65kB z urządzenia,…
Czytaj dalej »
![GHunt, czyli jak wycisnąć jak najwięcej informacji z profilu Google [OSINT hints]](https://sekurak.pl/wp-content/uploads/2020/10/ghunt1-150x150.png "GHunt, czyli jak wycisnąć jak najwięcej informacji z profilu Google [OSINT hints]")
Wszyscy wiemy, że jeśli prowadzimy śledztwa OSINT-owe, Google jest nieprzebraną skarbnicą wiedzy. Można tam łatwo wyszukać informacje przy użyciu Google Dorks, które odpowiednio wyfiltruje nam pożądane dane z oceanu informacji. Ale czy da się w prosty sposób otrzymać skondensowane dane o osobie, znając tylko jej adres email? Jeśli jest on…
Czytaj dalej »
Kampania uruchamiana jest regularnie, ostatnio pisaliśmy o tym rok temu. Przestępcy mają w zasadzie wszystko to, czego potrzeba: a) nie wysyłają danych do losowych firm, tylko takich które złożyły stosowne pismo do Urzędu Patentowego. Skąd mają te dane? Otóż: Urząd jest przez prawo zmuszony do publikowania podstawowych informacji o zgłaszanym znaku towarowym….
Czytaj dalej »
O bezpieczeństwie tzw. dziecięcych smartwatchy, pisaliśmy już parę razy. Pobieranie danych użytkownika (w tym jego lokalizacji) bez żadnych sprawdzeń uprawnień – czemu nie ;) Serwer z wrażliwymi danymi z zegarków, który nie zapewnia ani szyfrowania ani w zasadzie żadnych metod ochrony – proszę bardzo. Tym razem na celownik niemieckich badaczy…
Czytaj dalej »
Intro Aktualizacja – mamy przedłużony termin składania prac. Od czasu do czasu zarabiamy na reklamach / ostatnio jest to nawet więcej niż mniej. Sporo też propozycji reklamowych odrzucamy, bazując na kluczu: subiektywnie nie pasuje do wrzucenia na sekuraka. W każdym razie mamy dla Was pulę aż 20 000 PLN (minus…
Czytaj dalej »
T2 to stosunkowo nowy moduł wprowadzony do komputerów Apple (Macbooki, iMac czy MacPro). Co ciekawe jest on oparty o chip A10 używany jeszcze w iPhone7. Na T2 działa też zupełnie inny (niż zwykły ;) system operacyjny – bridgeOS. Kilkutomowego dzieła o budowie bridgeOS raczej nie znajdziecie, a np. Wikipedię można…
Czytaj dalej »
Anonimowe korzystanie z prepaidowych kart SIM w wielu krajach Europy się skończyło (no powiedzmy…), ale prostą metodą na nieskrępowany dostęp do Internetu jest korzystanie z publicznych hot-spotów. Takich np. w kawiarniach. Okazuje się jednak, że czasem nie jest to takie proste, szczególnie dla właścicieli tego typu lokali we Francji. Od…
Czytaj dalej »
BBC donosi: W przedziale 25. września – 2. października nie zaraportowano 15,841 wykrytych przypadków COVID-19. Public Health England said 15,841 cases between 25 September and 2 October were left out of the UK daily case figures. (…) The technical issue meant the daily case totals reported on the government’s coronavirus dashboard over…
Czytaj dalej »
Historię można by podsumować tak. Zobaczmy z pozoru podobne dwa scenariusze: Scenariusz 1. — Daj mi zdalny dostęp do twojego komputera a następnie zaloguj się do bankowości elektronicznej. Aha, jeszcze zainstaluj taką oto wspaniałą appkę-backdoor na swoim telefonie — Chyba cię *&@#&^!*&@#!!! Scenariusz 2. — Daj mi zdalny dostęp do…
Czytaj dalej »
Koniec wsparcia dla Flash Playera, Adobe ogłosił w 2017 roku. Wygasanie tego koszmarnego pod względem bezpieczeństwa produktu idzie wolno i jako finalną datę EoL wskazano 31. grudnia 2020 r. Historycznie patrząc od samych podatności klasy code execution aż się roiło (spośród wszystkich błędów listowanych w serwisie cvedetails to aż 39%): W…
Czytaj dalej »
![WIPO – wyszukiwarka patentów i znaków handlowych [OSINT hints]](https://sekurak.pl/wp-content/uploads/2020/09/wipo1-1-150x150.png "WIPO – wyszukiwarka patentów i znaków handlowych [OSINT hints]")
Przyzwyczailiśmy się, że wyszukiwanie obrazem najłatwiej wykonać, przeciągając grafikę do wyszukiwarki Google, Bing, Yandex czy jakiejkolwiek innej, która tę funkcję obsługuje. Ale czy można dowiedzieć od razu czegoś więcej o właścicielu danego logo czy znaku handlowego, który musimy zidentyfikować podczas OSINT-owego śledztwa? Okazuje się, że można. Portal WIPO (https://www.wipo.int), czyli…
Czytaj dalej »
Uruchamiamy właśnie kolejną edycję naszego 4-godzinnego szkolenia wprowadzającego do tematyki bezpieczeństwa IT. Do uczestnictwa nie jest wymagana żadna wiedza z obszaru bezpieczeństwa IT, choć warto znać podstawowe pojęcia z zakresu IT. Bezpieczeństwo aplikacji webowych, bezpieczna architektura sieci, wycieki danych, hasła oraz ich łamanie, elementy OSINT, aktualne ataki, częste problemu bezpieczeństwa…
Czytaj dalej »
Trzy tysiące, pięć tysięcy – jakoś można jeszcze przeboleć. Trudniej jeśli traci się oszczędności życia w wysokości kilkuset tysięcy złotych – a taką właśnie historię opisuje poznańska policja. 24 września br. poznanianka otrzymała SMS-a od firmy kurierskiej z którego treści wynikało, że przesyłka którą zamówiła, nie zostanie jej dostarczona, ponieważ…
Czytaj dalej »
