Struts to popularna biblioteka (framework?), znana zapewne wielu fanom Javy. Znana jest ona również badaczom bezpieczeństwa, bowiem historia podatności jest tutaj dość pokaźna. Co ma XML do zdalnego wykonania kodu? Otóż podatność zasadza się na wykorzystaniu automatycznie wykorzystywanej deserializacji XML-a, przez komponent XStream wykorzystywany w Struts2. Ale o RCE czającym się…

Trudno jest przygotować kurs o nowych, formalnych wymogach dotyczących danych osobowych (GDPR/RODO), tak aby nie był on najzwyczajniej w świecie nudny. Mamy nadzieję, że udało nam się połączyć dwa światy – techniczny i formalny – przygotowując skondensowany, jednodniowe szkolenie dotyczące nowej regulacji GDPR/RODO. Prowadzącym jest Maciek Pokorniecki, który na Sekuraku…

Pytaliście wiele razy czy możemy udostępnić nagrania z naszych prezentacji. Więc mamy dla Was: hackowanie kamer, TP-Linków, aplikacji webowych. Wszystko na żywo. Prawie 1.5h prezentacji – prezentuje Michał Sajdak, na zaproszenie firmy KMD Poland.

Dla niecierpliwych – można pobrać pełen, nieocenzurowany, przeszło 30-stronicowy raport z testów bezpieczeństwa systemu do zarządzania klientami (CRM – Customer Relationship Management) – YetiForce. 

Ciekawa analiza botnetu Onliner Spambot. Autor uzyskał m.in. dostęp do około 50 gigabajtów danych zawierających e-maile, hasła (w formie jawnej), czy fragmenty konfiguracji botnetu. Całość przez kompromitację CNC: Thanks to an open directory on the web server of the Onliner Spambot CNC, I was able to grab all the spamming data It’s…

Objęliśmy patronatem tegoroczną konferencję Security Case Study. Jeśli ktoś chce skorzystać ze zniżki wystarczy użyć kodu SCS17_Sekurak_20 (20% off). Wydarzenie jest już niedługo: 13-14 września w Warszawie. Sami organizatorzy piszą o wydarzeniu tak: Tematyka: bezpieczeństwo rozwiązań mobilnych, bezpieczeństwo serwisów internetowych, najgroźniejsze ataki sieciowe – ataki typu DDoS i APT, techniczne i…

Na początek, czym jest ów waporyzator? Coś co potrafi odparować np. tytoń (nie ma tutaj klasycznego spalania – zatem mamy mniej trujących substancji), a niektórym służy np. do stopniowego rzucania palenia. Nowoczesne sprzęty mają (oczywiście) możliwość sterowania z aplikacji mobilnej. A ta z kolei komunikuje się urządzeniem, korzystając z Bluetooth…

Właśnie odświeżyliśmy nasze warsztaty z bezpieczeństwa aplikacji webowych i mamy tu dla Was najbardziej rozbudowaną ścieżkę szkoleniową, dostępną w Polsce :-) Z tej okacji proponujemy promocję – uczestnictwo we wszystkich trzech szkoleniach, w cenie dwóch. Jeszcze inaczej – to połowa ceny szkolenia u jednej z naszych konkurencji.

Dla osób nie będących w temacie, tytuł może być nieco dziwny. Co ma mysz bezprzewodowa do przejmowania komputera? Odsyłam więc do opracowania firmy Bastille z 2016 roku, gdzie pokazano, że dongle które używamy z bezprzewodowymi myszami, w wielu przypadkach akceptują również podłączenie bezprzewodowej klawiatury. Dodajmy jeszcze brak szyfrowania radiowej komunikacji i…

O skimmerach pisaliśmy już wiele razy. Inwencja przestępców jednak się nie kończy – zobaczcie kilka kolejnych przykładów:

Tym razem będzie krótko – przedmiotem moich badań jest tym razem kamera Bosch FlexiDome IP micro 2000. Trochę ekwilibrystyki (o której w następnym odcinku), i można za pomocą odpowiedniego, nieuwierzytelnionego requestu HTTP zrzucać zawartość pamięci z działającej kamery. Taki haertbleed – tylko bez https ;) W pamięci jak wiadomo, można…

Tym razem wzięliśmy na warsztat kamerę Ganz Security – model ZN-M2F (cena to około 2500 zł). Udało nam się tam uzyskać uprawnienia root bez uwierzytelnienia.

Krótkie ataki o przepustowości 300Gbps, powtarzane w niewielkich odstępach. Dlaczego atakujący stosują tak nietypową technikę? Prawdopodobnie jest to optymalizacja działania botnetów. W tym scenariuszu można równolegle zaatakować wiele celów, a często po otrzymaniu kilkominutowej paczki ruchu 300Gbps, ofiara podnosi się długo (np. po wypełnieniu całej pamięci operacyjnej, uruchomieniu swap, itp.)…

BBC opisuje garść ataków dotykających firmy spedycyjne (shipping companies), wśród których warto zwrócić na co najmniej jeden. Mianowicie omawiany jest przypadek instalacji malware w średniej wielkości firmie spedycyjnej. Malware wg cytowanego opisu przechwytywał e-maile z / do działu księgowego i podmieniał numery rachunków kont. Przykładowo, dostawca paliwa pisze maila z…

Uszkodziłeś ekran w swoim telefonie – to w obecnych czasach nie problem. Kilka dni w serwisie i telefon jest jak nowy :-) A nawet lepszy – nowy ekran może mieć backdoora. Jakoś wszyscy przywykli chyba do tego, że dostęp fizyczny ~=  przejęcie urządzenia. Ale z drugiej strony,  niewiele osób zastanawia…