Te wszystkie rzeczy na naszym zaktualizowanym szkoleniu z bezpieczeństwa API REST (prezentacja ma już czternaste rozszerzenie; treść cały czas jest uzupełniana o aktualne problemy!). Kurs przeznaczony jest przede wszystkim dla programistów / testerów – ale z wiedzy garściami korzystają też pentesterzy. Nie będziemy Was zalewać pozytywnymi opiniami o szkoleniu –…

Lepiej uczyć się na cudzych błędach… tym razem Hacker News donosi o wycieku danych przeszło 100 milionów użytkowników z największej (natywnie) indyjskiej wyszukiwarki Justdial: Dlaczego piszemy o takim dość egzotycznym przypadku? Otóż jest tutaj jedna lekcja do zapamiętania – dostępny od 2015 roku endpoint API był starym, obecnie nieużywanym mechanizmem. Jednak…

Wygląda to na klasyczny przykład wdrażania ciekawego produktu, z nieciekawym podejściem do bezpieczeństwa (czyli żadnym). Podatny sprzęt to australijski Tic Toc Track (w cenie $150 dolarów australijskich). W skrócie, urządzenie łączy się z w zasadzie niezabezpieczonym API. Mając dowolne konto, mieliśmy jednocześnie dostęp do każdej metody API. Np. takiej pobierającej wszystkie…

Wipro zatrudnia przeszło 170 000 pracowników i działa również w Polsce. Nierzadko realizuje kontrakty o znaczeniu krytycznym dla całych krajów (np. National Grid w US czy UK). Brian Krebs relacjonuje doniesienia wielu niezależnych źródeł o hacku infrastruktury Wipro: Wipro is investigating reports that its own IT systems have been hacked…

Dla nikogo chyba dziwnym nie jest fakt, że Google zbiera informacje o lokalizacji telefonów (np. poprzez Google Maps). Może nieco bardziej zastanawiające jest to, że gigant przechowuje te dane w bazie Sensorvault, która częściowo może być (i jest) udostępniana różnym służbom. New York Times pisze o tzw. „geofence warrants”. Czyli np….

Właśnie wydano nową wersję Tomcata (w kilku liniach). Oficjalny opis potrafi postawić włosy na głowie: Important: Remote Code Execution on Windows CVE-2019-0232 Jeśli poczytamy dalej, dowiemy się że podatny jest moduł CGI (który jest domyślnie wyłączony). Konfiguracji Tomcat+CGI+Windows raczej nie będzie zbyt wiele, stąd ograniczona liczba ofiar… Jeśli z kolei…

Francuski oddział jednostki zajmującej się zwalczaniem terroryzmu w Internecie wysłał do serwisu archive.org nakaz zablokowania sporej liczby „contentu terrorystycznego”.  Mail wysłany był z domeny @europol.europa.eu, a czas na usunięcie linków dość liberalny (24h). Wg właśnie procesowanego prawa EU ma to być 1h i maksymalna kara aż 4% globalnego obrotu firmy. Problem…

Doczekaliśmy się kolejnej, już trzeciej, edycji konferencji x33fcon. I jak co roku w Gdyni na początku maja (6-7) zjadą się zespoły Red i Blue z całego świata. x33fcon to impreza międzynarodowa, w całości w języku angielskim, a my kolejny raz jesteśmy ich partnerami. Dla chętnych mamy kod zniżkowy (sekurak.Bohfu6nu), uprawniający…

Świat obiegła mrożąca krew w żyłach wiadomość: w próbce 1500 hoteli (z 54 krajów), około 67% „wycieka” m.in. dane osobowe do zewnętrznych domen: Symantec found that 67% of hotel websites are leaking guests’ booking and personal details Tekst mimo, że napisany momentami średnio (niezaszyfrowane linki („Unencrypted links”) to np. linki…

Na razie niewiele wiemy, poza tym że: 1) ambasada anulowała azyl 2) Julian został aresztowany w Londynie – jako podstawę wymieniono prośbę o ekstradycję do USA: Julian Assange has been further arrested in relation to an extradition warrant on behalf of the United States authorities. He remains in custody at…

Jakiś czas temu pisaliśmy o takiej technice w kontekście Tesli. Kradzież wykorzystuje fakt, że w nowoczesnych autach często wystarczy w pobliżu samochodu sygnał z kluczyka – wtedy samochód można otworzyć i uruchomić. Ale przecież kluczyk jest w kieszeni spodni właściciela! To nic, można wzmocnić sygnał odpowiednim urządzeniem i przesłać go…

WPA3 miało być super bezpieczne, a tymczasem przeżywa choroby wieku dziecięcego. Wśród kilku różnych, nowych ataków mamy dość sprawną metodę łamania hasła dostępowego: The resulting attacks are efficient and low cost. For example, to brute-force all 8-character lowercase passwords, we require less than 40 handshakes and 125$ worth of Amazon…

Projekt (i filmik) dostępny jest tutaj. Badacz najpierw wykonał zdjęcie (zwykłym telefonem) swojego odcisku palca z kieliszka do wina. Później obróbka w Photoshopie i druk na niedrogiej drukarce 3D. Potrzebne były w sumie trzy próby wydruku i po 15 minutach efekt końcowy okazał się sukcesem: –ms

Niedawno wydano wersję 7.1 CIS Controls. Sama nazwa niewiele mówi, ale jest to zbiór zaleceń / dobrych praktyk dotyczących bezpieczeństwa IT w firmach. Całość to raczej nie temat na jeden wieczór, ale z drugiej strony łatwo przytłoczyć małą, 10-osobową firmę natłokiem informacji czy elementami koniecznymi do zaimplementowania. CIS proponuje zatem…

Temat uruchamiamy hobbystycznie (choć w pracy pentestera czasem może przydać się komunikowanie radiowe z tzw. dziwnymi urządzeniami – czy np. otwieranie drzwi „zabezpieczonych” tragicznie niebezpieczną komunikacją radiową). TLDR: Wstępną, niezobowiązującą chęć uczestnictwa zgłoś na: szkolenia@securitum.pl Miejsce / czas szkolenia: maj, Kraków, 1 dzień. Forma szkolenia: wprowadzenie teoretyczne + warsztaty. Koszt:…