Tym razem trochę nietypowy wpis. Nieco bardziej rozbudowane materiały umieszczamy najczęściej w sekcji teksty (w formie tekstowej ;), ale tym razem udostępniamy do pobrania w formie PDFa zupełnie nowy rozdział z książki sekuraka o bezpieczeństwie aplikacji webowych. Rozdział dostępny do pobrania jest tutaj i możecie się nim dzielić dalej :-)…

Jakiś czas temu zaalarmowany treścią wiadomości czytelnik, wysłał nam zrzut takiego SMSa: Domena page[.]link, nieco dziwny cały link, skrótowiec oraz namawianie na zainstalowanie zewnętrznej „jakiejś appki”. Po wstępnej analizie (zastanawiając się gdzie tak naprawdę jest scam) skontaktowaliśmy się z CERT Orange Polska (kontakt jest tutaj zawsze bardzo szybki i zawsze…

Użytkownicy menedżera haseł LastPass mogli w ostatnim czasie otrzymać alerty informujące, że ktoś z nieznanej lokalizacji próbował zalogować się na ich konto z użyciem hasła głównego. Komunikat wyglądał w ten sposób: Informacje od zaniepokojonych użytkowników pojawiły się w dość dużych ilościach; najistotniejsze opisy i wczesne przypuszczenia zgromadzono w tym wątku…

Prace naukowe tego typu pojawiły się już jakiś czas temu: A research team has developed new technology that uses tiny smart devices known as spin-torque oscillators to harvest and convert wireless radio frequencies into energy to power small electronics. …ale tym razem są one wprowadzane w życie. Jak donosi the…

Jakiś czas temu otrzymaliśmy informację o dość ciekawym przypadku: intranet Wojewódzkiego Inspektoratu Ochrony Środowiska we Wrocławiu udostępniony w Internecie. Czy nie było tam logowania? – zapytacie. Było – odpowiemy. Więc w czym problem? – będziecie dociekać. Ano w tym, że pliki – dostępne normalnie po logowaniu – były również możliwe…

Jedną z szybkich i efektywnych technik rekonesansu OSINT-owego jest zdobywanie szczegółowych informacji o osobie i jej zdjęciu profilowym na podstawie adresu e-mail. Jeśli jest to konto Google, można skorzystać z takich narzędzi jak opisywany już przeze mnie w tej serii GHunt. Można też użyć narzędzia, którego nie trzeba instalować, czyli…

Nie ukrywajmy tego: programistą, testerem oprogramowania, specjalistą od administrowania siecią zostaje się z pasji i… dla pieniędzy. Branża IT płaci dobrze, ale wiesz – zawsze może być lepiej. A my znamy co najmniej 10 sposobów na to, jak to zrobić, by faktycznie było „lepiej” 😉 Specjalista w branży IT –…

Mogłoby się wydawać, że błędy w systemach informatycznych związane ze zmianą roku to domena przeszłości (np. znany problem roku 2000). Tymczasem nie do końca, bo użytkownicy Microsoft Exchange, czyli rozwiązania pocztowego stosowanego głównie w firmach, zgłaszają dziś takie błędy: The FIP-FS „Microsoft” Scan Engine failed to load. PID: ХХХХХ, Error…

Dla przypomnienia w Securitum szukamy teraz aż pięciu pentsterów, ale to ogłoszenie dotyczy nieco innego tematu ;) Szukamy osób do stałej lub okazjonalnej współpracy w obszarach: opracowywanie / research newsów (tylko regularna współpraca) i/lub: opracowywanie tekstów / poradników dla osób nietechnicznych (planujemy pewien nowy projekt… :) i/lub: opracowywanie wpisów /…

Historia opisywana jest przez jednego z komentatorów Reddita przy okazji kolejnego znaleziska o śledzeniu AirTagiem samochodu. Jest to jeden z nowych sposobów na typowanie auta do ew. późniejszej kradzieży – pisaliśmy o tym niedawno. Wracając do tytułu, przetłumaczmy większy fragment komentarza zamieszczonego przez jednego z użytkowników: Po wynajęciu lokalu przez…

Naszym dzisiejszym bohaterem jest to urządzenie: Cloud Key Gen2 Plus. Nazwa trochę dziwna, ale jest to znany wszystkim użytkownikom rozwiązań firmy Ubiquiti kontroler WiFi (ma również funkcję zapisu feedów z kamer). Całość w eleganckiej formule sprzętowej, z 1TB dyskiem oraz podtrzymywaniem bateryjnym (tj. „na czysto” się wyłącza w momencie ewentualnego…

Dzięki naszym nieocenionym czytelnikom o wpadce dowiedzieliśmy się dość szybko. Po wystąpieniu tego typu incydentu, można się spodziewać co się dzieje na telefonie pana Jacka… więc żeby jeszcze bardziej nie podgrzewać atmosfery (każdemu może zdarzyć się wpadka), nieco wstrzymaliśmy się z publikacją. Obecnie jednak sporo mediów już rozpyliło wieści, mleko…

Jeśli ktoś potrzebuje przykładu większego włamania z wykorzystaniem luki w Log4j – bardzo proszę. Celem była wietnamska giełda kryptowalut Onus (około 1.5-2 milionów użytkowników), która używała podatnego rozwiązania firmy Cyclos: Wprawdzie Cyclos szybko wypuścił łatkę na swoje rozwiązanie, jednak przed jej aplikacją przez giełdę, atakujący zdążyli uzyskać dostęp na stosowny…

O temacie ostrzega CSIRT KNF. Jak widzicie poniżej, jeśli ktoś w ferworze świąt potrzebowałby szybko zalogować się do bankowości, być może nie zauważy niepozornej zmiany widocznej w pasku adresu przeglądarki: Jak też widzicie powyżej, w przeglądarce jest kłódka, co oznacza bezpieczne połączenie https. No ale co najwyżej w bezpieczny sposób…

Opis podatności jest dość enigmatyczny: Apache Log4j2 vulnerable to RCE via JDBC Appender when attacker controls configuration. Z jednej strony jest to RCE (remote code execution), czyli możliwość wykonania kodu po stronie serwera, z drugiej strony powaga podatności (skala CVSS) została oszacowana na 6.6/10. Dlaczego nie 10/10 jak w przypadku…