Jak już pewnie słyszeliście 6 grudnia będzie MEGA bo mamy Mega Sekurak Hacking Party. Ponad 9 godzin super merytorycznej wiedzy, pokazy hackingu na żywo, świeża wiedza od najlepszych. Mamy już 1 300 zapisanych osób! Jesteś uczestnikiem? Sprawdź swoją skrzynkę pocztową – wysłaliśmy już do Ciebie informacje organizacyjne. Chcesz być uczestnikiem?…
Czytaj dalej »
![Hackerzy ukradli równowartość ~500 000 000 PLN (w kryptowalutach). Jak doszło do włamu? Pozyskali klucz API.[BadgerDAO]](https://sekurak.pl/wp-content/uploads/2020/04/btc-123-150x150.jpeg "Hackerzy ukradli równowartość ~500 000 000 PLN (w kryptowalutach). Jak doszło do włamu? Pozyskali klucz API.[BadgerDAO]")
Ten atak był chyba nawet prostszy, niż przykłady wizualizowane w wielu filmach: it appears someone injected a malicious script into BadgerDAO’s frontend after compromising an API key for BadgerDAO’s Cloudflare account. No więc kradzież klucza API do Cloudflare, zasilenie CDNa swoim złośliwym skryptem i…: The malicious script basically tricked people…
Czytaj dalej »
Bleepingcomputer donosi o false positive, który mógł/może być zgłaszany przez Microsoft Defender for Endpoint: Microsoft działa z poprawkami problemu, a Wam zalecamy spokój: We are working to resolve an issue where some customers may have experienced a series of false-positive detections. This issue has been resolved for cloud-connected customers.” –…
Czytaj dalej »
Do włamania doszło na początku tego roku. Obecnie postawiono zarzuty Mikołajowi Sharp – byłemu (obecnie) pracownikowi. The Record relacjonuje: He used work AWS and GitHub credentials to access the company’s network and download gigabytes of proprietary data. He tried to extort the company for 50 BTC ($2 million) in January…
Czytaj dalej »
Kiedy za temat zabiera się Tavis Ormandy, wiadomo że będzie grubo. Tym razem (CVE-2021-43527) czytamy: I’ve discovered a critical vulnerability in Network Security Services (NSS). NSS is the Mozilla project’s cross-platform cryptography library. W skrócie – można przygotować podpis cyfrowy, który będzie większy niż maksymalny który przewiduje biblioteka, i mamy…
Czytaj dalej »
Zaczęło się od tego Tweeta: Co dość szybko spotkało się z taką ripostą: No więc czy rzeczywiście jeden z trolli przypadkiem chcąc wkleić na TT obrazek, zdradził jego dość kompromitującą ścieżkę? OPSEC fail? Namierzona farma rządowych trolli? A może „farma” będąca tylko uroczym baitem? Tego typu śmieszki były już wrzucane…
Czytaj dalej »
W tym artykule opisuję niebezpieczne użycie zmiennej $request_uri w Apache APISIX ingress controller. Moja praca zaowocowała zgłoszeniem błędu bezpieczeństwa, który otrzymał numer CVE-2021-43557. Zacznijmy od tego, czym jest Apache APISIX: „… to dynamiczna brama API (ang. API gateway) o wysokiej wydajności. Ma ona duże możliwości konfiguracji w zakresie kształtowania ruchu,…
Czytaj dalej »
Nasze mega sekurak hacking party już za kilka dni (6.12.2021). W dużym skrócie agenda przedstawia się następująco (zero nachalnego marketingu, same konkrety, pełen dzień tematów związanych z bezpieczeństwem IT, konkurs CTF drugiego dnia): Netgear – CTF w pudełku?! Prototype Pollution – czyli jak zatruć aplikację XSS-em OSINT – historia prawdziwa…
Czytaj dalej »
Wpis z serii ciekawostki. Przechodząc szybko do sedna – wdrożenie projektu jest wstępnie proponowane na rok 2025, a ma być poprzedzone badaniami, które właśnie się rozpoczynają: The VR test will asses driving, cognitive, and memory skills using a VR headset, close to how virtual reality technology is used in dementia…
Czytaj dalej »
Ostatnio pisaliśmy o dość nietypowym ataku na klientów mBanku (nie mylić z mBạnkiem) – zobaczcie na adres URL z „dziwną” literą ạ: Mamy też kolejny wariant, który wykorzystuje trochę nietypową literę n – czyli tę: mbaņk Paweł Piekutowski informuje również jeszcze o innym ataku – tym razem celem byli/są biznesowi…
Czytaj dalej »
Ciekawostka. Jeśli ktoś jeszcze nie zna projektu TempestSDR – polecam spojrzeć tutaj: This project is a software toolkit for remotely eavesdropping video monitors using a Software Defined Radio (SDR) receiver. It exploits compromising emanations from cables carrying video signals. Projekt ma na celu umożliwienie podsłuchiwania monitorów za pomocą SDR-a: wyłapuje…
Czytaj dalej »
W atakach na użytkowników często stosuje się złośliwe makra pakietu Microsoft Office. Tym razem jednak CERT Orange ostrzega o kampanii wykorzystującej uzbrojony załącznik xlsx, który żadnego makra nie zawiera. Zawiera za to exploita na dość starą, ale groźną podatność CVE-2017-11882. Plik dostarczany jest w dość niechlujnie wyglądającym spamie: Sama podatność…
Czytaj dalej »
Chodzi o plugin Hide My WP. Jak czytamy (podkreślenie nasze) w opisie produktu: Hide My WP – Amazing Security Plugin for WordPress! Hide My WP is number one security plugin for WordPress. It hides your WordPress from attackers, spammers and theme detectors. Over 26,000 satisfied customers use Hide My WP….
Czytaj dalej »
CronRAT, jak sama nazwa wskazuje, wykorzystuje w nowatorski sposób cron, czyli „harmonogram” zadań w systemach Linux. Ten trojan RAT ukrywa się poprzez dodanie do cron kilku zadań zaplanowanych na nieistniejący dzień 31 lutego. Wygląda to w ten sposób: 52 23 31 2 3 <zadanie> Oznacza to, że wykonanie zadania miałoby…
Czytaj dalej »
O temacie ostrzega CSIRT KNF. Zobaczcie zatem na ten adres – wygląda całkiem podobnie do online.mbank.pl: Jedyna różnica to litera 'a’, która nie do końca jest literą a (dla pewności, widzicie tę małą kropkę pod nią?). Swoją drogą, równie dobrze mogłoby to być np. mbånk.com Jak widzicie w adresie jest…
Czytaj dalej »
