Po doniesieniach dotyczących infekcji Pegasusem Ewy Wrzosek oraz Romana Giertycha, Associated Press informuje o wielokrotnym uderzeniu w telefon Krzysztofa Brejzy: Polish Sen. Krzysztof Brejza’s mobile phone was hacked with military-grade spyware nearly three dozen times in 2019 when he was running the opposition’s campaign against the right-wing populist government (…)…

Wg różnych doniesień, pierwszym który zgłosił podatność log4shell do twórców biblioteki, był Chen Zhaojun pracujący w Alibaba Cloud. Twórcy przygotowywali łatkę… i wszystko szło by dobrze, gdyby nie fakt, że podatność nie została jednocześnie zgłoszona do chińskiego rządu: Alibaba Cloud did not immediately report vulnerabilities in the popular, open-source logging…

Twórcy malware raczej nie życzą swoim ofiarom wesołych Świąt. Albo raczej życzą trochę w makabrycznej formule. Tutaj krótki opis jednej z kampanii zaczynającej się od dość nieprzyjemnej socjotechniki. Jak widzicie poniżej, e-mail o zwolnieniu zawiera załącznik, który jest zabezpieczony prostym hasłem (próba ukrycia złośliwej zawartości przed systemami antywirusowymi): Załącznik zawiera…

Masz dość słuchania nudnych pogadanek o cyber-bezpieczeństwie, z których niewiele wynika? Chciałbyś spędzić z nami 4 godziny, które upłyną szybko jak 5 minut? Chciałbyś nauczyć chronić się przed najczęstszymi cyberatakami? A może od razu po szkoleniu chciałbyś wdrożyć mechanizmy uodparniające Cię na ewentualne przyszłe ataki? Czytaj dalej :-) Po dwóch…

Dawno nie publikowaliśmy niczego na sekurak.tv, więc czas nadrobić zaległości ;-) Tutaj możecie oglądać blisko ~4h nagranie szkolenia omawiającego najnowszy OWASP Top Ten: W cztery godziny cieżko omówić w sposób kompleksowy cały dokument, więc traktujcie to jako wstęp do tematu :-) Jeśli ktoś jest żądny większej ilości wiedzy, w tym…

O temacie donosi Associated Press, a potwierdza Citizen Lab: (…) napastnikiem był wojskowej klasy spyware od NSO Group – izraelskiej firmy, którą ostatnio wykluczył rząd amerykański (…) the invader was military-grade spyware from NSO Group, the Israeli hack-for-hire outfit that the U.S. government recently blacklisted, say digital sleuths of the University…

Dawno na sekuraku nie było ciekawostek, więc mamy coś nowego :) Tytułowy bombowiec możecie podziwiać tutaj: O znalezisku donieśli użytkownicy Reddita, a na obrazie widać najpewniej bombowiec strategiczny B2; na ziemi wygląda tak: ~Michał Sajdak

O nowym „trendzie” pisaliśmy niedawno: Używają applowych AirTags do znakowania wypasionych aut, które następnie są kradzione. Kanadyjska policja ostrzega. Tymczasem media donoszą o kolejnym przypadku, kiedy właściciel auta zlokalizował AirTaga, którego ktoś przyczepił do jego auta. Schemat jest dość prosty – złodzieje typują dobre samochody, zaparkowane np. przy centrum handlowym,…

Rok 2021 jest przełomowy dla nas, przyjęliśmy ponad 10 osób, zrobiliśmy ponad 550 komercyjnych testów penetracyjnych. Między innymi wykonaliśmy testy bezpieczeństwa Protonmaila (tutaj zobacz raport, który za zgodą zamawiających te pentesty – został upubliczniony). Jeśli chciałbyś uczestniczyć w tego typu ofensywnych projektach? czytaj dalej :-) TLDR: w pierwszym kwartale 2022…

Zapewne sporo osób interesujących się podatnością log4shell zatrzymało się na bibliotece Log4j w wersji 2.15.0 W międzyczasie zdążyła się pojawić wersja 2.16.0 ponownie łatająca remote code execution w niestandardowych konfiguracjach (CVE-2021-45046). Ale to nie koniec karuzeli. Właśnie pojawiła się wersja 2.17.0 biblioteki łatająca błąd klasy DoS (również w „niedomyślnych konfiguracjach”): Apache…

Ostatnio zaprosiliśmy Was do wpisania się na listę obecności na sekuraku (cały czas możecie to zrobić; jeszcze jest szansa wygrać trochę naszych gadgetów! W szczególności sekurakowe skarpetki, które rozdajemy dość rzadko). Jak wyglądają częściowe odpowiedzi? (1200 zebranych ankiet). Czytajcie: 1. Najwięcej osób czyta nas z firm z branży IT (nie…

Ciekawym opisem podzielił się zespół badaczy, który zaprezentował słabości klucza służącego do generowania certyfikatów COVID w postaci kodów QR w Wietnamie. Wykorzystując tę podatność, można było samodzielnie utworzyć certyfikat. Sam kod takiego dokumentu zawiera dość ciekawe dane, np.: typ pojazdu, numer rejestracyjny, liczba foteli, ID obywatela czy okres ważności certyfikatu. …

Prawdopodobnie słyszeliście już o krytycznej podatności log4shell. O co chodzi z podatnością? Jakie są możliwe skutki wykorzystania? Jak wyglądają różne warianty ataków na tę lukę [pokazy na żywo] Czy nowa wersja Javy chroni przed atakami? Właśnie wyszła kolejna aktualizacja log4j – 2.16.0 – czy poprzednia nie łatała wszystkich problemów? Czy…

Ostatnio log4shell przyćmiewa inne problemy bezpieczeństwa. Tymczasem w listopadzie Microsoft załatał dwie interesujące podatności: CVE-2021-42278 / CVE-2021-42287 (Active Directory Domain Services Elevation of Privilege Vulnerability) Jak można zobaczyć na ~animacji tutaj, każdy zalogowany do domeny użytkownik może zostać w prosty sposób …administratorem domeny: Wprawdzie w opisie błędu Microsoft napisał Exploitation…

Apple właśnie wypuścił wersję 15.2 swojego mobilnego systemu. Mam wrażenie, że znalazły się w nich funkcje, które nie do końca zostały przetestowane na premierę iOS 15.0; ale teraz nadszedł już dobry czas. Najbardziej chyba cieszy tzw. raport prywatności aplikacji (Ustawienia -> prywatność -> na-samym-dole- ;) Widzimy tutaj np. z jakich…