Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Co każdy administrator powinien wiedzieć o bezpieczeństwie aplikacji webowych?

02 grudnia 2022, 08:11 | Aktualności | komentarze 2
Co każdy administrator powinien wiedzieć o bezpieczeństwie aplikacji webowych?

W praktyce spotykam sporo osób zajmujących się administrowaniem systemów/sieci/czy np. baz danych, które z daleka starają się omijać tematykę bezpieczeństwa aplikacji WWW. Szczerze jednak – nie da się od tego na dłuższą metę uciec. Panele webowe urządzeń sieciowych, wycieki które bardzo często realizowane są właśnie poprzez atak na aplikację webową,…

Czytaj dalej »

Nowa wersja Chrome łata prawie 30 podatności. Z czego 8 stanowi „wysokie zagrożenie”. Łatajcie się ASAP

01 grudnia 2022, 18:52 | W biegu | komentarze 3
Nowa wersja Chrome łata prawie 30 podatności. Z czego 8 stanowi „wysokie zagrożenie”. Łatajcie się ASAP

Szczegóły dostępne są tutaj, a aktualne wersje to: Chrome 108.0.5359.71 (Mac/Linux) / 108.0.5359.71/72 (Windows). Przy okazji, wśród badaczy którzy zgłosili podatności, nieco mogą niepokoić (po raz kolejny!) chińskie nazwiska, np.: [$15000][1379054] High CVE-2022-4174: Type Confusion in V8. Reported by Zhenghang Xiao (@Kipreyyy) on 2022-10-27 [$11000][1381401] High CVE-2022-4175: Use after free…

Czytaj dalej »

Jak można było zdalnie otwierać oraz uruchamiać Hyundaie? Wystarczyło znać e-maila właściciela…

01 grudnia 2022, 18:40 | W biegu | 0 komentarzy
Jak można było zdalnie otwierać oraz uruchamiać Hyundaie? Wystarczyło znać e-maila właściciela…

Cała historia już załatanego problemu, znajduje się w wątku tutaj: Jeśli właściciel zarejestrował się w odpowiednim miejscu, to mógł otworzyć samochód takim żądaniem HTTP (ale musi ono zawierać poprawny token JWT!): Teraz uwaga: e-mail użytkownika przekazywany był zarówno w body żądania HTTP, jak i w JWT. Na czym polegał hack?…

Czytaj dalej »

LastPass informuje o „incydencie bezpieczeństwa”. Ktoś hasa po ich chmurze i uzyskał częściowe informacje o użytkownikach LastPassa

01 grudnia 2022, 09:33 | W biegu | komentarzy 10
LastPass informuje o „incydencie bezpieczeństwa”.  Ktoś hasa po ich chmurze i uzyskał częściowe informacje o użytkownikach LastPassa

Z dosyć lakonicznym wpisem możecie zapoznać się w tym miejscu: We recently detected unusual activity within a third-party cloud storage service, which is currently shared by both LastPass and its affiliate, GoTo. We immediately launched an investigation Jak się okazuje jest to w pewnym sensie druga faza ataku, który miał…

Czytaj dalej »

Pokazali jak zdalnie zhackować wybrane modele samochodów: Hondy, Nissana, Infiniti, Acury

30 listopada 2022, 21:19 | W biegu | 1 komentarz
Pokazali jak zdalnie zhackować wybrane modele samochodów: Hondy, Nissana, Infiniti, Acury

Pełen wątek na Twitterze dostępny jest tutaj: Możliwość zdalnego otwierania, uruchamiania, lokalizowania czy włączania klaksonu samochodu – posiadając tylko jego numer VIN – nie wygląda to zbyt optymistycznie. Idąc od początku – badacze przyjrzeli się na początek firmie SiriusXM. Zapewnia ona usługi telemetrii kilku znanym producentom samochodów. Telemetrii – czyli…

Czytaj dalej »

Google ostrzega o europejskim producencie spyware. W użyciu 0-day na Windows Defender (!), Chrome, Firefox.

30 listopada 2022, 20:57 | W biegu | 0 komentarzy
Google ostrzega o europejskim producencie spyware. W użyciu 0-day na Windows Defender (!), Chrome, Firefox.

Google relacjonuje szczegóły dotyczące oprogramowania: Heliconia. Prawdopodobnie dostarczane jest ono przez hiszpańską firmę Variston IT. Co potrafi narzędzie? Google wspomina o wykorzystaniu podatności w Chrome / Firefoksie (również na Linuksa) oraz Windows Defenderze. Szczególnie ta ostatnia luka może wzbudzić niepokój, bo wystarczyło otworzyć podrzuconego (złośliwego) PDFa. Był on skanowany Windows…

Czytaj dalej »

USA wprowadza zakaz sprzedaży importu urządzeń Huawei / ZTE / Hikvision / Dahua / Hytera. Powód? bezpieczeństwo narodowe.

26 listopada 2022, 10:01 | W biegu | komentarzy 6
USA wprowadza zakaz sprzedaży importu urządzeń Huawei / ZTE / Hikvision / Dahua / Hytera. Powód? bezpieczeństwo narodowe.

Temat relacjonuje BBC, dodając że np. Hikvision zeznaje iż wcale nie stanowi zagrożenia dla bezpieczeństwa narodowego USA. W każdym razie agencja FCC ma inne zdanie: FCC Bans Authorizations for Devices That Pose National Security Threat. Wszystkie dość zawiłe szczegóły dostępne są w przeszło 180-stronicowym raporcie FCC. Warto też zaznaczyć, że…

Czytaj dalej »

Pobierz 4 darmowe rozdziały z książki sekuraka o bezpieczeństwie aplikacji webowych.

24 listopada 2022, 09:54 | W biegu | komentarzy 6
Pobierz 4 darmowe rozdziały z książki sekuraka o bezpieczeństwie aplikacji webowych.

TLDR: 800 stronicowa książka, wydrukowana w kolorze. Idealna również dla osób początkujących w temacie bezpieczeństwa aplikacji webowych. ~20000 sprzedanych egzemplarzy. Tymczasem można bezpłatnie pobrać 4 (z 31) rozdziałów: Podstawy protokołu HTTP. Podstawy narzędzia Burp Suite. Podatność XSS. Żonglowanie pamięcią podręczną. Całość powyżej to przeszło 100 stron materiału o – jak…

Czytaj dalej »

Dlaczego hackowanie sieci jest proste? Zobacz cyberatak na żywo!

18 listopada 2022, 10:13 | Aktualności | komentarze 2
Dlaczego hackowanie sieci jest proste? Zobacz cyberatak na żywo!

TLDR: zapisy tutaj. Chciałbyś zobaczyć jak hackerzy wykonują rekonesans firmy-celu? W jaki sposób przełamują zabezpieczenia? W jaki sposób eskalują swoje uprawnienia? W jaki sposób mogą przejąć kontroler domeny? Wszystko to pokażemy na żywo, na przykładzie pewnej firmy… (spokojnie, wszystko będzie w pełni legalne). W trakcie szkolenia: w praktycznej formie poznasz…

Czytaj dalej »

Kara od UODO dla gminy Dobrzyniewo Duże. Były procedurki, ale nie było ich wdrożenia w rzeczywistości ;-)

16 listopada 2022, 12:36 | W biegu | komentarze 4
Kara od UODO dla gminy Dobrzyniewo Duże. Były procedurki, ale nie było ich wdrożenia w rzeczywistości ;-)

Co się wydarzyło? Naruszenie polegało na kradzieży służbowego komputera z danymi osobowymi, na którym nie zastosowano odpowiednich zabezpieczeń w celu ochrony tych danych, co skutkowało naruszeniem ich poufności. Do kradzieży doszło poza siedzibą administratora, gdyż użytkujący laptop pracownik przechowywał go poza zakładem pracy, w domu. Jak można się spodziewać komputer nie miał wdrożonego…

Czytaj dalej »

Google właśnie załatał błąd… umożliwiający odblokowanie telefonów Pixel bez znajomości PINu. Być może podatni również inni dostawcy telefonów bazujących na Androidzie.

10 listopada 2022, 20:14 | W biegu | komentarzy 10
Google właśnie załatał błąd… umożliwiający odblokowanie telefonów Pixel bez znajomości PINu. Być może podatni również inni dostawcy telefonów bazujących na Androidzie.

Czy mieliście w życiu sytuację, że nagle zapomnieliście hasła, które machinalnie wpisywaliście już setki razy? Pewien badacz napotkał właśnie ten problem, kiedy jego telefon miał 1% baterii. Po chwili telefon się wyłączył, a po podładowaniu badacz chciał odblokować PINem kartę SIM… ale coś nie szło :/ Poszukał więc kodu PUK,…

Czytaj dalej »

Szpital Matki Polki w Łodzi zainfekowany ransomware. Informują również o „możliwym wycieku”.

10 listopada 2022, 19:22 | W biegu | komentarzy 9
Szpital Matki Polki w Łodzi zainfekowany ransomware. Informują również o „możliwym wycieku”.

O ransomware w Instytucie Centrum Zdrowia Matki Polki w Łodzi informowaliśmy już 2. listopada. Obecnie na stronach szpitala pojawiło się oświadczenie: Jak widać, wskazana została grupa Lockbit 3.0 (to chyba najaktywniejsza grupa ransomware w bieżącym roku). Doszło również do zaszyfrowania kopii zapasowych (standardowa procedura grup ransomware…). Instytut informuje też o…

Czytaj dalej »

Dlaczego hackowanie aplikacji webowych jest proste? Relacja z wydarzenia sekuraka :-)

08 listopada 2022, 17:56 | W biegu | komentarzy 11
Dlaczego hackowanie aplikacji webowych jest proste? Relacja z wydarzenia sekuraka :-)

Niektórzy całą akcję określają webinarem, niektórzy wydarzeniem, a nam najbardziej odpowiada słowo – szkolenie. W każdym razie 7.11.2022r o 20:00 wystartowaliśmy, mając ~1600 uczestników na żywo (w max było 1700). A całe wydarzenie w niecałe 24 godziny oglądnęło blisko 8000 osób (taką liczbę wyświetleń pokazuje YouTube). Bardzo dużo osób dotrwało…

Czytaj dalej »

RODO okiem hackera – mamy trochę darmowych wejściówek na szkolenie. Kto pierwszy ten lepszy! :-)

03 listopada 2022, 10:45 | W biegu | komentarze 2
RODO okiem hackera – mamy trochę darmowych wejściówek na szkolenie. Kto pierwszy ten lepszy! :-)

Nasze nowe szkolenie: RODO okiem hackera! Praktyczne szkolenie z ochrony danych osobowych – dostępne jest tutaj. A teraz do sedna: 50 pierwszych osób, które napiszą do nas z maila firmowego na adres ca@securitum.pl otrzymają po jednej darmowej wejściówce na szkolenie: RODO okiem hackera!. UWAGA: jeśli pracujesz dla instytucji/firmy związanej z…

Czytaj dalej »