Samo nagranie dostępne jest tutaj: Głos momentami się tnie, jest do bólu uszu monotonny, a także niezsynchronizowany z obrazem. Niemniej jednak taki dość toporny przekaz dla wielu osób będzie zapewne wystarczający. Wystarczający aby kliknąć, podać swoje podstawowe dane, a później odebrać telefon od rzekomych konsultantów inwestycyjnych. Ci ostatni skłonią ofiarę…

The Record wskazuje na nowe zagrożenie – chodzi o aktualizacje regulacji eIDAS (Electronic Identification, Authentication and Trust Services), które: umożliwią państwom członkowskim UE wydawanie tzw. kwalifikowanych certyfikatów stron internetowych (QWAC). W rzeczywistości są to certyfikaty kryptograficzne, które przeglądarki internetowe miałyby prawny obowiązek uznać za ważne, co potencjalnie otwiera drogę rządom…

Sam CVSS to sposób na „wycenę” podatności w skali od 0 do 10 (0 – w zasadzie to nie jest podatność; 10 – podatność krytyczna). Listę zmian w stosunku do CVSS 3.1 znajdziecie w tym miejscu. Jeśli wersja 3.1 wydała się Wam zbyt skomplikowana to wersja 4.0 – dodaje jeszcze…

Producent ostrzega o luce w tym miejscu: W ramach naszych ciągłych procesów oceny bezpieczeństwa odkryliśmy, że klienci korzystający z Confluence Data Center / Server są narażeni na znaczną utratę danych w przypadku wykorzystania podatności przez nieuwierzytelnionego atakującego. As part of our continuous security assessment processes, we have discovered that Confluence…

O samym projekcie Sekurak.Academy możecie poczytać tutaj – w skrócie jest to 30+ krótkich szkoleń rocznie (15+ na semestr), każde szkolenie z dostępnym nagraniem. Szkolenia przeznaczone są głównie dla osób z IT / wchodzących w tematykę bezpieczeństwa IT (lista szkoleń tutaj). Około 3-4 szkoleń na semestr przeznaczonych jest dla osób…

Podatność została już załatana, a opisana jest dość niewinnie, tj. jako: „Sensitive information disclosure„. Coż to za „sensytywne informacje”, których wyciek zasługuje aż na ocenę 9.4/10 jeśli chodzi o skalę krytyczności? Okazuje się, że naprawdę prostym żądaniem HTTP (odpowiednio duża liczba znaków w nagłówku HTTP Host), można pobrać fragmenty pamięci…

Poza nową wersją iOS z linii 17, udostępniono też aktualizacje w linii 16 oraz 15 (tutaj wspierany jest np. iPhone 6s, który wyszedł w 2015 roku!) W iOS 17.1 załatano aż trzy podatności umożliwiające na wykonanie kodu w OS, po wejściu na zainfekowaną stronę: Impact: Processing web content may lead…

Sekurak Academy to projekt umożliwiający regularny udział w krótkich (2-3h) skondensowanych szkoleniach z bezpieczeństwa IT. Pierwsza edycja (2023) okazała się być ogromnym sukcesem (przeszło 3000 zapisanych osób). Czas na edycję 2024. Bilety dostępne są w wariantach (z gadgetami lub bez), pakietach firmowych oraz w opcji sprezentowania dostępu innej osobie –…

Tutaj kilka słów o tym, czym jest Jabber / XMPP (w skrócie: komunikator). Szczegóły incydentu dostępne są w tym opisie. W skrócie: Wg doniesień atakujący wykonywał operację w kwietniu 2023 roku, a został wykryty przypadkiem, bo wygasł mu certyfikat (z punktu 1 powyżej) – co poskutkowało błędem po stronie klientów….

Sporo detali podrzuciła nam ekipa Talos, a chodzi o luki: CVE-2023-20198 oraz CVE-2023-20273. W skrócie, można startując zupełnie od zera (wystarczy anonimowy dostęp do panelu webowego urządzenia) uzyskać dostęp do pełnych uprawnień (root) na urządzeniu. Wszystko przez połączenie dwóch exploitów: Fixów na razie brak, ale mają pojawić się lada moment…

W dość suchym oświadczeniu tutaj, Okta pisze o ataku na swój system helpdesk. Okta Security zidentyfikowała wrogie działanie, które wykorzystywało wykradzione dane uwierzytelniające – w celu uzyskania dostępu do systemu pomocy technicznej Okta. Okta Security has identified adversarial activity that leveraged access to a stolen credential to access Okta’s support…

Ostatnio nieco ciszej na sekuraku, a to za sprawą dwóch dużych wydarzeń, które równocześnie uruchamiamy w ten czwartek (19.10.2023). Z samego rana startujemy MEGA sekurak hacking party, gdzie do wieczora intensywnie prowadzimy praktyczne prelekcje. Bilety on-site / ale też on-line dostępne są tutaj. W programie: W osobnej sali mamy hacking…

Za niecałe 2 tygodnie rozpoczynamy wysyłkę nowej książki sekuraka: Wprowadzenie do bezpieczeństwa IT. Garść detali o samej książce.

📢Jesteśmy partnerem medialnym konferencji dla pasjonatów i ekspertów – Infoshare DEV! 🌟🗓 Data: 24 października – KatowiceInfoshare Dev to 4 ścieżki tematyczne na 2 scenach:🔴 Scena Czerwona (Front-End, Web Dev, JS Frameworks, UX/UI, Web Performance, JAVA, Microservices,Software Architecture, Software Engineering, Libraries&Tools)🔵 Scena Niebieska (AI, Machine Learning, Deep Learning, Big Data,…

Pegasus. To hasło budzi dość jednoznaczne skojarzenia: oprogramowanie szpiegowskie, używane również w Polsce. Tymczasem na rynku dostępne jest także inne narzędzie – Predator, o podobnych możliwościach. Amnesty International dostarczyło właśnie garści szczegółów o całym rozwiązaniu. Panel administracyjny wygląda mniej więcej w ten sposób: Kolejną ciekawostką jet fakt, że narzędzie stara…