Chodzi o INA Group, a firma cały czas nie usunęła skutków ataku. Informacja na stronie mówi o ataku, skutkującym niedostępnością wybranych usług (paliwo na stacjach benzynowych można lać, stąd ;-) w tytule): The INA Group is under cyber-attack, which began around 10 pm on February 14, 2020, causing problems in…

Dzisiaj mała rzecz – a cieszy może czasem doprowadzić do poważnych problemów. Zapewne każdy z nas wielokrotnie korzystał z mechanizmu przypominania hasła – wpisujemy tam login lub e-mail i oczekujemy na wiadomość linkiem umożliwiającym reset hasła. Oczywiście link posiada tzw. token (odpowiednio długi losowy ciąg znaków) potwierdzający, że mogę zmienić…

W dzisiejszym odcinku #vulnz kilka słów o problemie/podatności subdomain takeover. Jak sama nazwa wskazuje chodzi tutaj o przejęcie jakiejś poddomeny (niespodzianka ;). Wydaje się to dość trudne do zrealizowania, jednak wbrew pozorom czasem bywa naprawdę proste. Obecnie z problemem boryka się Microsoft, gdzie wiele domen zostało „przejętych” oraz serwowany jest różny, niezbyt…

Skondensowaną informację o incydencie (wraz zaleceniami) publikuje US CERT. Nie był to tym razem losowy ransomware jakich wiele (choć nie był również wyrafinowany – czytaj dalej). Najpierw na operatora rurociągu użyto ataku klasy spear phishing (stosowny link przesłany do ofiary) aby uzyskać dostęp w sieci IT. Następnie udało się przeskoczyć do…

Brian Krebs donosi o nowych faktach przesłanych przez Citriksa do wybranych osób. Napastnicy dostali się do wewnętrznej sieci, najprawdopodobniej zgadując hasło jednego lub większej liczby pracowników: attackers had intermittent access” to Citrix’s internal network between Oct. 13, 2018 and Mar. 8, 2019, and that there was no evidence that the…

Zacznijmy więc od świeżej podatności (z lutego tego roku) w microsoftowym SQL Server Reporting Services (SSRS). Cały czas sporo osób uważa, że problemy bezpieczeństwa deserializacji w .NET nie istnieją :) Otóż istnieją i są dość poważne, bo umożliwiają dostanie się na serwer poprzez deserializację danych przesłanych przez złego aktora napastnika. Poniżej…

Proponujemy Wam taki eksperymentalny projekt: Kupujecie naszą książkę (jeśli ktoś już ma – może przejść do punktu 2 ;). Potwierdzenie zakupu macie na fakturze, która jest generowana automatycznie. Wstępnie zapisujecie się na event poniżej & czekacie na dalsze info. Cały cykl szkoleniowy jest bezpłatny. Uwaga, na razie prosimy o przesłanie…

Nasze całodzienne wydarzenie będzie jednym z największych (jeśli nie największym) wydarzeniem branży IT security w Polsce. Przez około 3 tygodnie bilety kupiło już ~600 osób, a mamy dla Was kolejne atrakcje: Nieco rozbudowana agenda (doszła nowa prezentacja o bezpieczeństwie aplikacji desktopowych) Michał Bentkowski do swojej prezentacji dołoży parę szczegółów jeszcze dymiącej…

Firma Clearsec wspomina o ofensywnej kampanii roboczej nazwaną „Fox Kitten„. Autorzy wskazują tutaj na Iran (choć wiadomo – przypisanie lokalizacji napastnikom bywa często…problematyczne), który ma na celu dostęp / przejęcie danych z z dość strategicznych obszarów: Though the campaign, the attackers succeeded in gaining access and persistent foothold in the…

Scenki były rysowane od zera – wg naszego scenariusza, cały pdf po dobrania w tym miejscu. Możecie go używać (wydrukować :) na cele prywatne lub wewnątrz firmy – ważne tylko żeby był w niezmienionej formie (w razie potrzeby można drukować tylko pojedyncze strony). Jeśli z kolei potrzebujecie jakiegoś wsparcia w…

Dzisiejszy odcinek vulnz poświęcamy ~prostej eskalacji uprawnień do Administratora w systemach Windows. Zacznijmy od mechanizmu Service Tracing – jak sama nazwa wskazuje umożliwia to pewne debugowanie usług (i dla pewnych usług może być zrealizowane jako nieuprawniony użytkownik Windows). Aby całość skonfigurować po prostu ustawiamy pewne klucze wartości w rejestrze (ścieżka: HKLM\SOFTWARE\Microsoft\Tracing)….

Jeśli ktoś jeszcze nie miał styczności z U2F – polecam nadrobić zaległości. W skrócie – takie dwuczynnikowe uwierzytelnienie jest z jednej strony prostsze, z drugiej bezpieczniejsze od pewnych innych rozwiązań (np. Google Authenticatora): aby się uwierzytelnić nie potrzebujemy przepisywać kodu (który można ukraść), wystarczy tylko fizycznie kliknąć przycisk na odpowiednim…

Na nasze całodzienne wydarzenie – MEGA sekurak hacking party (zobacz agendę) zapisało się już 580 osób! Dodatkowo, bezpośrednio w kolejne dni po hacking party prowadzimy w Krakowie szkolenia warsztatowe: bezpieczeństwo aplikacji www, bezpieczeństwo API REST, powłamaniowa analiza incydentów bezpieczeństwa. Możecie się na nie wybrać (dostając aż 20% rabat) – kupując stosowny…

Cześć. Rozumiem, że trafiłeś na ten mini kurs ponieważ chcesz rozpocząć swoją przygodę z MIPS’em w kontekście bezpieczeństwa, poznać assembly i zagłębić się w proces reverse engineeringu różnych aplikacji opartych o tą właśnie architekturę. No i super, w takim razie czeka Cię trochę wiedzy do przyswojenia i masa ciekawych, nowych…

Siódmy dzień od naszego eksperymentu z #vulnz. Tym razem przygotowaliśmy interaktywną animację o dość znanej (i często występującej podatności) –  XXE (XML External Entity). Nie będziemy za bardzo spoilerować – sami zobaczcie o co chodzi w temacie :) Dla pewności – odpowiednie akcje wywołujecie przyciskami: Jeśli ktoś chce zobaczyć tę…