Tego chyba jeszcze nie grali. Na tegorocznej edycji konferencji Virus Bulletin badacze zaprezentowali dość unikalne znalezisko: Since at least 2016, a threat actor has hijacked TP-Link routers as part of a botnet that abused a built-in SMS capability to run an underground Messaging-as-a-Service operation. Chodzi o to urządzenie – popularne…

Tym razem mamy dla Was coś nietypowego – wywiad z Jakubem Nadolnym, CEO Fast White Cat – software house’u Magento. Dla uważnych czytelników mamy kilka sekurakowych nagród. A jednocześnie zachęcamy do zerknięcia na ciekawe oferty pracy w Fast White Cat (możliwość pracy z całej Polski) 1)  Sekurak: opowiedz trochę o Waszej…

TLDR: zła wiadomość: podatność jest łatwo wykorzystywalna zdalnie i umożliwia wykonanie kodu na serwerze. Dobra wiadomość, podatność występuje tylko w jednej (niedawno wydanej) wersji web serwera – 2.4.49 oraz wymaga włączonego modułu mod-cgi. Jest jeszcze jeden drobny warunek – szczegóły poniżej. Apache to darmowe, otwartoźródłowe i wieloplatformowe oprogramowanie serwera WWW…

Twitch to jedna z najpopularniejszych platform streamingowych, umożliwiająca swoim użytkownikom prowadzenie transmisji na żywo. W sierpniu 2014 roku została ona kupiona przez Amazon.com za kwotę 970 milionów dolarów. Według danych udostępnianych przez Twitch.tv stronę każdego dnia odwiedza około 10 milionów użytkowników. Serwis ten ma jednak wiele wad, np. takich jak:…

W lipcu 2020 roku pisaliśmy o „awarii Internetu”, gdy popularne serwisy, takie jak: Discord, Roblox, Steam, Santander, Orange i wiele innych, nie działały z powodu problemów po stronie dostawcy usług CDN i rozwiązań anty-DDoS  – Cloudflare. Tym razem istną panikę wywołała niemożność dostępu do usług Facebooka – 4 października 2021…

Mowa o naszym szkoleniu: wprowadzenie do bezpieczeństwa IT. W największym skrócie: Szkolenie kierowane jest do osób z IT / osób prywatnych, które jeszcze nie mają doświadczenia w technicznych aspektach bezpieczeństwa IT Szkolenie będzie nagrywane a dostęp będzie możliwy przez 3 miesiące od daty szkolenia (jeśli komuś nie odpowiada termin można…

We wpisie prezentujemy wybrane ataki na polskich internautów (zobaczcie też zestawienie z zeszłego tygodnia). Wpadła Wam w oko złośliwa kampania? Komentujcie lub piszcie na sekurak@sekurak.pl. Poprzednie przeglądy: 6–19.09.2021 20–26.09.2021 Atak tygodnia: Telefony z „działów bezpieczeństwa” banków. Schemat oszustwa jest niezmienny od miesięcy, tzn. cyberprzestępca twierdzi, że ktoś wykonał nieautoryzowany przelew…

Nieco enigmatyczną sprawę, którą postaramy się nieco rozwikłać, opisuje Policja: Sądeczanka przed południem odebrała telefon od mężczyzny, który podał się za pracownika działu bezpieczeństwa banku i zapytał, czy tego dnia robiła jakiś przelew. Kiedy zaprzeczyła, poinformował ją, że prawdopodobnie doszło do włamania na jej konto i że placówka musi zgłosić…

Łatkę powinniście dostać automatycznie, choć możecie to przyspieszyć ręcznie. W sumie załatano 4 podatności bezpieczeństwa (za jedną wypłacono nagrodę $20 000), z tego dwie były / są wykorzystywane do ataków na użytkowników: [$TBD][1252918] High CVE-2021-37975 : Use after free in V8. Reported by Anonymous on 2021-09-24 [$NA][1251787] Medium CVE-2021-37976 :…

Pegasus, czyli chyba najbardziej głośne narzędzie umożliwiające niewidzialne szpiegowanie telefonów. Kto by nie chciał sprawdzić czy jego telefon nie jest zainfekowany i ewentualnie usunąć szkodnika? Talos opisuje historię spreparowanej strony podszywającej się pod Amnesty International oraz udostępniającej oprogramowanie Anti Pegasus: Co dalej? Można pobrać to oprogramowanie, które „coś robi” albo…

W ramach współpracy z Just Join IT podrzucamy kilka ofert pracy, które mogą Was zainteresować (kwoty poniżej – brutto / netto B2B) 1. Incident Response Team LeadSnowflake35 000 – 70 000 PLNhttps://bit.ly/2Xxcy9q Snowflake rekrutuje! 😎 To jedna z wiodących firm zajmujących się chmurami, która rozwija się na tyle szybko, że…

Czy słyszeliście kiedyś o podejściu Zero Trust – czyli dość zdroworozsądkowym podejściu do bezpieczeństwa sieci? W pewnym sensie to przeciwieństwo „Full Trust” stosowanego w wielu polskich (i nie tylko) firmach. Jedna duża sieć albo i wiele sieci – ale bez filtrowania ruchu, hasła administracyjne wpisane do jednego pliku i współdzielone…

W 2019 roku opisywaliśmy nietypowe złośliwe oprogramowanie Cutlet Maker, które umożliwiało atakującemu z fizycznym dostępem do bankomatu opróżnienie wszystkich kasetek z pieniędzmi – bez konieczności posiadania jakiejkolwiek karty płatniczej (tzw. jackpotting). Zapewnienia bezpieczeństwa w przypadku tradycyjnych bankomatów nie ułatwiał fakt, że większość urządzeń korzystała z przestarzałego już Windowsa XP. Z…

Jeśli ostatnich kilku lat nie spędziliście w jaskini, to najprawdopodobniej zetknęliście się z TikTokiem, czyli chińską mobilną aplikacją internetową, umożliwiającą użytkownikom publikowanie krótkich materiałów wideo. Wprawdzie platforma ta nie słynie z treści z „górnej półki”, jednak i od tej reguły zdarzają się pewne wyjątki: Powyższe nagranie zostało pierwotnie zamieszczone na…

Visual Studio Code to popularny, darmowy edytor kodu, stworzony przez firmę Microsoft. Oprogramowanie zawiera wsparcie między innymi w zakresie debugowania kodu, zarządzania wersjami kodu źródłowego za pośrednictwem systemu kontroli wersji Git czy automatycznego uzupełniania kodu IntelliSense. Jedną z głównych zalet VS Code jest możliwość rozbudowywania jego funkcjonalności za pomocą różnorodnej…