Kolejna faza batalii Google ze społecznością tworzącą rozszerzenia. Tym razem gigant ogłosił, że w nowej wersji API dostępnej dla rozszerzeń nie będzie w ogóle możliwości blokowania wysyłania żądań HTTP z przeglądarki, chyba że dla wersji enterprise Chrome: Chrome is deprecating the blocking capabilities of the webRequest API in Manifest V3,…

W skrócie, zobaczcie na to szkolenie wprowadzające do tematyki bezpieczeństwa IT (2 dni, praktyczne pokazy). Na najbliższą edycję w tym roku (Warszawa,10-11.06.2019) możecie się zapisać korzystając aż z 50% rabatu (cena to 999 PLN netto), jeśli spełnicie dowolny z trzech warunków poniżej: Skondensowane informacje o szkoleniu można znaleźć tutaj (ulotka…

O problemie pisaliśmy niedawno – w skrócie, bez uwierzytelnienia można wykonać kod w systemie operacyjnym (uprawnienia SYSTEM) poprzez odpowiednio złośliwą komunikację RDP. Od tego czasu mamy skaner wykrywający podatność (rdpscan), dość szczegółową analizę podatności, a także około miliona maszyn dostępnych bezpośrednio z Internetu, które nie są załatane. Lepiej się pospieszcie z…

Uruchomiliśmy nowe 1-dniowe szkolenie: Praktyczne wprowadzenie do SDR (Software Defined Radio). Temat podjęliśmy bardziej hobbystycznie (dla naszej wewnętrznej ekipy), więc liczba miejsc jest ograniczona. Szkolenie robimy w dość kameralnych grupach – 10-12 osób. Agenda: Transmisja radiowa – teoria (prezentacja – wykład) Czym w ogóle jest radio: fale elektromagnetyczne Pierwsze radio –…

Pierwsza podatność wygląda mało zabawnie – zmiana haseł innym użytkownikom…: An Improper Authorization vulnerability in the SSL VPN web portal may allow an unauthenticated attacker to change the password of an SSL VPN web portal user via specially crafted HTTP requests. Podatne systemy: FortiOS 6.0.0 to 6.0.4 FortiOS 5.6.0 to…

Po raz drugi w historii pojawimy się w Gdańsku. Na wydarzenie zapraszamy programistów, testerów, adminów oraz wszystkie osoby które chcą spotkać się z żywym bezpieczeństwem IT :) Termin: 06.06.2019 r. Miejsce: Uniwersytet Gdański – Wydział Nauk Społecznych Audytorium S-208, ul. Jana Bażyńskiego 4, 80-309 Gdańsk Rozpoczęcie: 18:00 (można być już 17:30)….

130-letni gigant – First American Financial Corp.- (18 000 pracowników) działający w obszarze nieruchomości, miał gigantyczną podatność. Zmieniając numer ID w pewnym linku, można było uzyskać dostęp do poufnych dokumentów: The digitized records — including bank account numbers and statements, mortgage and tax records, Social Security numbers, wire transaction receipts, and…

To zapis jednego z wykładów które prowadziłem niedawno: Jeśli ktoś potrzebuje się z kolei dowiedzieć więcej (w tematach związanych z bezpieczeństwem API) – zapraszam na moje szkolenie: bezpieczeństwo API REST. –ms

Rejestracja tutaj, z kodem MP_SEKURAK otrzymujecie -20%. Uwaga: do poniedziałku (29.05) obowiązuje jeszcze niższa cena biletów. Agenda wydarzenia dostępna jest tutaj. Z ekipy Sekuraka / Securitum będziemy mieć kilka prezentacji: dwa na głównym tracku – będzie można zobaczyć tutaj m.in. bezprzewodowy atak na popularny presenter Logitecha (można bezprzewodowo wstrzyknąć dowolne klawisze na…

Ostatnio ciekawą informację przekazał twórca hashcata: Support for PKZIP Master Key added to with an insane guessing rate of 22.7 ZettaHash/s on a single RTX 2080Ti. All passwords up to length 15 in less than 15 hours with only 4 GPUs! Czym jest PKZIP? Jest to pierwszy program, który wprowadził…

Wcześniej nieoficjalnie były dostępne wersje testowe, teraz oficjalnie dostępna jest wersja stabilna: Tor Browser 8.5 is the first stable release for Android. Since we released the first alpha version in September, we’ve been hard at work making sure we can provide the protections users are already enjoying on desktop to the…

Jeśli ktoś korzysta z szyfrowanej poczty (GPG/PGP) w Thunderbirdzie, jest bardzo duża szansa że używa wtyczki Enigmail. Właśnie został w niej załatany bug, który umożliwiał wysłanie maila i podszycie się w zasadzie pod dowolną osobę (sfałszowanie informacji o prawdziwym podpisie). Jako PoC został przygotowany mail pokazujący prawidłowy podpis od Filipa Zimmermann-a,…

Ministerstwo ostrzega przez mailami phishingowymi grożącymi kontrolą skarbową: Zobaczcie że mail wygląda, jak gdyby był wysłany z prawidłowej domeny (kas.gov.pl), choć odpowiednie wpisy, które znajdują się w SPF, powinny spowodować że wiadomość  wyląduje w spamie. Odnośnie samego wspomnianego pisma UAC 73, widać, że autorem phishingu jest chyba ktoś o korzeniach…

Exploit jest ponoć bardzo skuteczny: I can confirm that this works as-is on a fully patched (May 2019) Windows 10 x86 system. A file that is formerly under full control by only SYSTEM and TrustedInstaller is now under full control by a limited Windows user. Podatność jest względnie prosta –…

Najpierw Facebook, teraz Google. Problem dotyczy użytkowników komercyjnych kont GSuite: (…) We made an error when implementing this functionality back in 2005: The admin console stored a copy of the unhashed password. This practice did not live up to our standards. To be clear, these passwords remained in our secure…