Jesteśmy patronem medialnym tegorocznej konferencji ATS (22-23 listopada 2017 r., Warszawa). Stąd, poczytajcie informacje od organizatorów: Tematem przewodnim tegorocznej edycji jest: strategia bezpieczeństwa IT i cyberbezpieczeństwa w firmie, czyli priorytetyzacja działań, kierunki inwestycji, ocena zagrożeń. Ocena ryzyk – co rzeczywiście stanowi zagrożenie dla danej firmy i jak wyglądają trendy w tym obszarze w perspektywie najbliższych…

Parę dni temu światło dzienne ujrzał projekt ysoserial.net – czyli dotnetowy odpowiednik słynnego javovego ysoserial. Program generuje odpowiedni ciąg znaków, który po deserializacji na serwerze, powoduje wykonanie na nim wskazanego przez atakującego kodu. Konkretny przykład tego typu dotnetowego buga można zobaczyć tutaj (deserializacja z JSON), tutaj (deserializacja ciasteczka mającego chronić przed…

Chodzi o rozszerzenie SafeBrowse i do końca nie wiadomo czy był to hack, czy celowe działanie twórcy pluginu… W dobie kopaczek javascryptowych, spodziewamy się kolejnych tego typu historii. –ms

W Chrome mamy poprawki kilku błędów bezpieczeństwa, w tym jednego z priorytetem High zgłoszonego przez… członka zespołu Microsoft Offensive Security Research. Niedawno stworzona ekipa raczej skupiała się na poszukiwaniu błędów w produktach Mictosoftu. Zatem poważna podatność w Chrome to wypadek przy pracy? A może Microsoft, podobnie jak Google, chce zbudować rozpoznawalne globalnie…

Struts to popularna biblioteka (framework?), znana zapewne wielu fanom Javy. Znana jest ona również badaczom bezpieczeństwa, bowiem historia podatności jest tutaj dość pokaźna. Co ma XML do zdalnego wykonania kodu? Otóż podatność zasadza się na wykorzystaniu automatycznie wykorzystywanej deserializacji XML-a, przez komponent XStream wykorzystywany w Struts2. Ale o RCE czającym się…

Trudno jest przygotować kurs o nowych, formalnych wymogach dotyczących danych osobowych (GDPR/RODO), tak aby nie był on najzwyczajniej w świecie nudny. Mamy nadzieję, że udało nam się połączyć dwa światy – techniczny i formalny – przygotowując skondensowany, jednodniowe szkolenie dotyczące nowej regulacji GDPR/RODO. Prowadzącym jest Maciek Pokorniecki, który na Sekuraku…

Pytaliście wiele razy czy możemy udostępnić nagrania z naszych prezentacji. Więc mamy dla Was: hackowanie kamer, TP-Linków, aplikacji webowych. Wszystko na żywo. Prawie 1.5h prezentacji – prezentuje Michał Sajdak, na zaproszenie firmy KMD Poland.

Dla niecierpliwych – można pobrać pełen, nieocenzurowany, przeszło 30-stronicowy raport z testów bezpieczeństwa systemu do zarządzania klientami (CRM – Customer Relationship Management) – YetiForce. 

Ciekawa analiza botnetu Onliner Spambot. Autor uzyskał m.in. dostęp do około 50 gigabajtów danych zawierających e-maile, hasła (w formie jawnej), czy fragmenty konfiguracji botnetu. Całość przez kompromitację CNC: Thanks to an open directory on the web server of the Onliner Spambot CNC, I was able to grab all the spamming data It’s…

Objęliśmy patronatem tegoroczną konferencję Security Case Study. Jeśli ktoś chce skorzystać ze zniżki wystarczy użyć kodu SCS17_Sekurak_20 (20% off). Wydarzenie jest już niedługo: 13-14 września w Warszawie. Sami organizatorzy piszą o wydarzeniu tak: Tematyka: bezpieczeństwo rozwiązań mobilnych, bezpieczeństwo serwisów internetowych, najgroźniejsze ataki sieciowe – ataki typu DDoS i APT, techniczne i…

Na początek, czym jest ów waporyzator? Coś co potrafi odparować np. tytoń (nie ma tutaj klasycznego spalania – zatem mamy mniej trujących substancji), a niektórym służy np. do stopniowego rzucania palenia. Nowoczesne sprzęty mają (oczywiście) możliwość sterowania z aplikacji mobilnej. A ta z kolei komunikuje się urządzeniem, korzystając z Bluetooth…

Właśnie odświeżyliśmy nasze warsztaty z bezpieczeństwa aplikacji webowych i mamy tu dla Was najbardziej rozbudowaną ścieżkę szkoleniową, dostępną w Polsce :-) Z tej okacji proponujemy promocję – uczestnictwo we wszystkich trzech szkoleniach, w cenie dwóch. Jeszcze inaczej – to połowa ceny szkolenia u jednej z naszych konkurencji.

Dla osób nie będących w temacie, tytuł może być nieco dziwny. Co ma mysz bezprzewodowa do przejmowania komputera? Odsyłam więc do opracowania firmy Bastille z 2016 roku, gdzie pokazano, że dongle które używamy z bezprzewodowymi myszami, w wielu przypadkach akceptują również podłączenie bezprzewodowej klawiatury. Dodajmy jeszcze brak szyfrowania radiowej komunikacji i…

O skimmerach pisaliśmy już wiele razy. Inwencja przestępców jednak się nie kończy – zobaczcie kilka kolejnych przykładów:

Tym razem będzie krótko – przedmiotem moich badań jest tym razem kamera Bosch FlexiDome IP micro 2000. Trochę ekwilibrystyki (o której w następnym odcinku), i można za pomocą odpowiedniego, nieuwierzytelnionego requestu HTTP zrzucać zawartość pamięci z działającej kamery. Taki haertbleed – tylko bez https ;) W pamięci jak wiadomo, można…