Pewnie wielu z Was korzysta z takiego rozwiązania: szyfrowanie dysku Bitlockerem z kluczem zaszytym w TPM. Jest to wygodne, bo przy starcie systemu nie trzeba wpisywać dodatkowego hasła, a jeśli ktoś ukradnie sprzęt to po wyciągnięciu dysku widzi tylko zaszyfrowane dane – klucz jest w TPM i nie da się go wyciągnąć. No właśnie – czy to ostatnie jest prawdą?

Dzisiaj z różnym skutkiem nie działają usługi oferowane przez Facebooka. Dużo osób nie może zmieniać statusu, lubić komentarzy, postów czy wręcz zalogować się. Facebook w tym ostatnim przypadku wyświetla dość niepozorny komunikat: Wracasz za “parę minut”, ale przecież wyraźnie znowu jest napisane – powinien być dostępny dopiero “za parę minut”…

TLDR: zalogowany admin WordPressa, wchodzi w innym tabie przeglądarki na odpowiednio spreparowaną stronę i w tym momencie temat się kończy – tj. atakujący ma dostęp do WordPressa / na serwer (czyli ma zuploadowanego webshella z uprawnieniami web serwera). W czym tkwi problem? Po pierwsze mamy podatność CSRF – czyli można…

Ciekawe rozwiązanie, które będzie testowane na produkcji (realni klienci, realne środku, realne terminale) w jednym z brytyjskich banków. Rozwiązanie wygląda podobnie jak np. Apple Pay powiązane z telefonem, który ma czytnik biometryczny (wybieram płatność, potwierdzam za pomocą skanu palca lub Face ID, przykładam urządzenie do terminala (NFC), płatność zakończona. Tylko……

Ten post jest na tyle istotny, że warto dla niego napisać nawet jednozdaniowego newsa. Opisuje on kilka ataków na nowoczesne sieci Windows – w tym działający od wielu lat Kerbroasting. W skrócie, po posiadaniu dowolnego konta w sieci Windows (można je pozyskać np. za pomocą wykorzystania WPAD) można namierzyć konkretne…

Po okresie testów – usługa jest dostępna z 2.5GB limitem. Uploadujesz plik (jest on wysyłany do clouda firefoksowego w formie zaszyfrowanej), w wyniku otrzymujesz zwykły URL. URL umożliwia pobranie pliku (istnieje też możliwość zabezpieczenia pliku extra hasłem). Proste, wygodne i zbudowane z myślą o bezpieczeństwie i prywatności użytkowników: With Send,…

Duże firmy zapewne taką dokumentację już mają. Małe – na pewno nie, średnie – różnie z tym bywa. W każdym razie udostępniamy zupełnie bezpłatnie dokumentację: Reagowanie na incydenty bezpieczeństwa IT. W założeniach dokumentacja miała być maksymalnie kompaktowa i możliwa do szybkiego wdrożenia (w tym modyfikacji oraz rozbudowy) w małej/średniej firmie….

Jeśli ktoś zna tematykę JWT (JSON Web Token), to wie że aby uniemożliwić postronnym osobom modyfikacje zawartości tokena (payload), używany jest podpis. Bez weryfikacji podpisu każdy mógłby wygenerować dowolny token i serwer go zaakceptuje. Czyli np. dostajemy bezproblemowo dostęp do funkcji administracyjnych czy innych ciekawych danych. Zobaczmy więc na podatność CVE-2019-7644:…

Baza Mongo z danymi niemal 2 milionów osób. Trudno powiedzieć do czego system był wykorzystywany – na pewno ma jednak podtekst matrymonialny. Składająca się informacji o samych kobietach struktura na następujący skład: single [89%], rozwiedzione [10%], wdowy [1%] Najmłodsza ma 15 lat, najstarsza 95. Mamy tutaj takie dane jak: wiek,…

Wielu z was zapewne spotkało się z sytuacją kiedy poprawka Windowsów na tyle dużo popsuła, że system nie chce ponownie wystartować. Sam Microsoft pisze tak: Windows automatically installs updates to keep your device secure and running at peak efficiency. Occasionally, these updates can fail due to incompatibility or issues in new…

Firma Tenable informuje o odkryciu podatności w firmware RouterOS łotewskiego producenta Mikrotik. Luka CVE-2019-3924 umożliwia wysyłanie pakietów TCP oraz UDP przez port służący do zarządzenia Winbox. Problem związany jest z przekierowywaniem połączeń. Sam port jednak musi być “otwarty”, co wymaga zmiany konfiguracji właśnie poprzez jego opcję “Firewall router”, gdzie decydujemy…

W oryginalnej wersji wyglądało to tak: for ( ; ; ) { window.alert(“　∧_∧　ババババ\n（ ・ω・)=つ≡つ\n（っ ≡つ=つ\n`/　　)\n(ノΠＵ\n何回閉じても無駄ですよ～ww\nm9（＾Д＾）プギャー！！\n　byソル (@0_Infinity_)”) } Policja przesłuchała młodą dziewczynę – w tle dość poważne zarzuty, gdzie pojawiają się takie frazy jak “unauthorized malicious program” czy “criminal act”. Nie skończyło się tylko na problemach 13-latki – policja postanowiła też…

Może takie miejsce się przyda? Planujemy tam publikować tematy, które normalnie nie pojawią się na sekuraku, czasem AMA,  prosimy też o podrzucanie Waszych ciekawych tematów do dyskusji. To ostatnie jest głównym celem istnienia grupy – mamy całkiem sporo doświadczonych w interesującym nas temacie czytelników. A co tysiące głów to nie…

Jeśli ktoś porusza się w świecie korporacyjnym, zapewne słyszał o firmie Citrix. Donosi ona o włamaniu do swojej wewnętrznej sieci – o czym zostali poinformował przez FBI. Co dokładnie się stało? Pełnych informacji jeszcze nie ma, choć jest mowa o kradzieży wewnętrznych dokumentów. Niektórzy potwierdzają ilość na 6-10 TB poufnych informacji,…

Najpierw 0-day na Chrome, teraz 0-day na Windows. Google pisze, że błąd jest wykorzystywalny na Windows 7 (najprawdopodobniej nie da się go użyć na Windows 10). Problem polega na możliwości eskalacji uprawnień do SYSTEM z poziomu zwykłego użytkownika. Połączenie powyższych dwóch bugów może dać taki efekt: ofiara klika na linka…