Google relacjonuje szczegóły dotyczące oprogramowania: Heliconia. Prawdopodobnie dostarczane jest ono przez hiszpańską firmę Variston IT. Co potrafi narzędzie? Google wspomina o wykorzystaniu podatności w Chrome / Firefoksie (również na Linuksa) oraz Windows Defenderze. Szczególnie ta ostatnia luka może wzbudzić niepokój, bo wystarczyło otworzyć podrzuconego (złośliwego) PDFa. Był on skanowany Windows…

Temat relacjonuje BBC, dodając że np. Hikvision zeznaje iż wcale nie stanowi zagrożenia dla bezpieczeństwa narodowego USA. W każdym razie agencja FCC ma inne zdanie: FCC Bans Authorizations for Devices That Pose National Security Threat. Wszystkie dość zawiłe szczegóły dostępne są w przeszło 180-stronicowym raporcie FCC. Warto też zaznaczyć, że…

TLDR: 800 stronicowa książka, wydrukowana w kolorze. Idealna również dla osób początkujących w temacie bezpieczeństwa aplikacji webowych. ~20000 sprzedanych egzemplarzy. Tymczasem można bezpłatnie pobrać 4 (z 31) rozdziałów: Podstawy protokołu HTTP. Podstawy narzędzia Burp Suite. Podatność XSS. Żonglowanie pamięcią podręczną. Całość powyżej to przeszło 100 stron materiału o – jak…

Niedługo prowadzimy nowe szkolenie: RODO okiem hackera! Praktyczne szkolenie z ochrony danych osobowych (w linku znajdują się wszystkie szczegóły organizacyjne / agenda). Jeśli pracujesz w firmie > 100 osób, poproś kogoś z działu HR, aby powołał się na ten wpis i napisał email na ca@securitum.pl W odpowiedzi prześlemy kody rabatowe…

TLDR: zapisy tutaj. Chciałbyś zobaczyć jak hackerzy wykonują rekonesans firmy-celu? W jaki sposób przełamują zabezpieczenia? W jaki sposób eskalują swoje uprawnienia? W jaki sposób mogą przejąć kontroler domeny? Wszystko to pokażemy na żywo, na przykładzie pewnej firmy… (spokojnie, wszystko będzie w pełni legalne). W trakcie szkolenia: w praktycznej formie poznasz…

Co się wydarzyło? Naruszenie polegało na kradzieży służbowego komputera z danymi osobowymi, na którym nie zastosowano odpowiednich zabezpieczeń w celu ochrony tych danych, co skutkowało naruszeniem ich poufności. Do kradzieży doszło poza siedzibą administratora, gdyż użytkujący laptop pracownik przechowywał go poza zakładem pracy, w domu. Jak można się spodziewać komputer nie miał wdrożonego…

Czy mieliście w życiu sytuację, że nagle zapomnieliście hasła, które machinalnie wpisywaliście już setki razy? Pewien badacz napotkał właśnie ten problem, kiedy jego telefon miał 1% baterii. Po chwili telefon się wyłączył, a po podładowaniu badacz chciał odblokować PINem kartę SIM… ale coś nie szło :/ Poszukał więc kodu PUK,…

O ransomware w Instytucie Centrum Zdrowia Matki Polki w Łodzi informowaliśmy już 2. listopada. Obecnie na stronach szpitala pojawiło się oświadczenie: Jak widać, wskazana została grupa Lockbit 3.0 (to chyba najaktywniejsza grupa ransomware w bieżącym roku). Doszło również do zaszyfrowania kopii zapasowych (standardowa procedura grup ransomware…). Instytut informuje też o…

Niektórzy całą akcję określają webinarem, niektórzy wydarzeniem, a nam najbardziej odpowiada słowo – szkolenie. W każdym razie 7.11.2022r o 20:00 wystartowaliśmy, mając ~1600 uczestników na żywo (w max było 1700). A całe wydarzenie w niecałe 24 godziny oglądnęło blisko 8000 osób (taką liczbę wyświetleń pokazuje YouTube). Bardzo dużo osób dotrwało…

Nasze nowe szkolenie: RODO okiem hackera! Praktyczne szkolenie z ochrony danych osobowych – dostępne jest tutaj. A teraz do sedna: 50 pierwszych osób, które napiszą do nas z maila firmowego na adres ca@securitum.pl otrzymają po jednej darmowej wejściówce na szkolenie: RODO okiem hackera!. UWAGA: jeśli pracujesz dla instytucji/firmy związanej z…

Ciekawa historia opisywana jest tutaj: Klient zgłosił, że kilkanaście jego turbin wiatrowych zostało zainfekowanych złośliwym oprogramowaniem. Do każdej z turbin podłączony był własny komputer z systemem Windows. Ten komputer monitorował prędkość wiatru, produkcję, kontrole stanu działania urządzeń oraz mógł sterować częściami turbiny. The client was reporting that a dozen of…

Niedawno Juniper załatał serię podatności w panelu webowym urządzeń: Multiple vulnerabilities have been found in the J-Web component of Juniper Networks Junos OS. One or more of these issues could lead to unauthorized local file access, cross-site scripting attacks, path injection and traversal, or local file inclusion. Szczegóły dostępne są…

Obecnie bazujemy na doniesieniach czytelników, przy czym niezależnie, dwa nasze źródła wskazują na ransomware. Dodatkowe informacje, które przesłali nam czytelnicy: Dzisiaj w Łodzi w instytucie Centrum Zdrowia Matki Polki powiedzieli mi podczas pobrania krwi, że cały system leży bo ich zhackowali i nikt nie wie kiedy będą wyniki siostra pracuje…

Podatności dotyczą biblioteki OpenSSL w wersjach 3.0.0 – 3.0.6 (włącznie). Wersja 3.0.0 została wydana w listopadzie 2021 roku. Poprzednie wersje nie są podatne. Jak czytamy, w przypadku obu luk problem występuje w procesie walidacji certyfikatu: A buffer overrun can be triggered in X.509 certificate verification – zatem dotyczy głównie części…

Niedawno wydano nową wersję Chrome (107.0.5304.62 – Mac, 107.0.5304.68 – Linux, 107.0.5304.62/63 Windows). Mamy tutaj łatki 3 podatności, stanowiących wysokie zagrożenie, za zgłoszenie których – jak widać – wypłacono całkiem pokaźne sumki: [$20000][1369871] High CVE-2022-3652: Type Confusion in V8. Reported by srodulv and ZNMchtss at S.S.L Team on 2022-09-30 [$17000][1354271]…