W ramach zawodów Crack Me If You Can, odbywających się podczas konferencji DEF CON 6-8 sierpnia, należało przeprowadzić łamanie haseł z różnych systemów. Zespół, pod nazwą Team Hashcat, odpowiedzialny za narzędzie hashcat (którego zastosowanie zostało omówione na SekurakTV), podzielił się swoim write-upem. W tym roku organizator (firma KoreLogic) zamiast listy…

Na wstępie mamy dla Was dobrą wiadomość – luka wymaga od atakującego uprzedniego uwierzytelnienia: Luka w interfejsie zarządzania FortiWeb (wersja 6.3.11 i wcześniejsze) umożliwia atakującemu wykonanie dowolnych poleceń systemowych jako root. Za całe zamieszanie odpowiedzialny jest następujący fragment kodu: int move_metafile(char *path,char *name){int iVar1;char buf [512];int nret;snprintf(buf,0x200,”%s/%s”,”/data/etc/saml/shibboleth/service_providers”,name);iVar1 = access(buf,0);if (iVar1…

O całym zajściu mogliśmy dowiedzieć się za sprawą tweeta badacza bezpieczeństwa Boba Diachenki: Po atakach terrorystycznych z 11 września 2001 r. w Stanach Zjednoczonych utworzono TSC (Terrorist Screening Center), czyli wieloagencyjne centrum zarządzane przez FBI, którego głównym zadaniem jest uzupełnianie listy osób podejrzewanych o terroryzm i zarządzanie nią. Powyższe dane…

Obawiacie się, że Wasi pracownicy mogą paść ofiarą socjotechniki/phishingu? Może przeleją firmowe pieniądze na konto przestępców? Nieświadomie wpuszczą ransomware do Waszej sieci? Albo udostępnią poufne informacje firmowe nieznajomym? Co z bezpieczeństwem smartfonów? Jeśli intrygują Was tego typu pytania, zobaczcie na nasze szkolenie cyberawareness przeznaczone dla osób nietechnicznych: bezpieczny.sekurak.pl Szkolenie sami…

O całym zajściu mogliśmy dowiedzieć się za sprawą oficjalnego oświadczenia, jakie firma T-Mobile zamieściła na swojej stronie internetowej: Z treści wypowiedzi wynika, że choć nieuprawniony dostęp do serwerów T-Mobile rzeczywiście miał miejsce, to firma nie ustaliła jeszcze, czy dane jej klientów zostały wykradzione.  Niestety, jak informuje portal Vice, nielegalnie pozyskane…

Jeśli śledzicie na bieżąco kampanie cyberprzestępcze wycelowane w Polskę, to na pewno zetknęliście się z SMS-ami od „PGE” czy „Taurona”: Policjantom z Biura do Walki z Cyberprzestępczością Komendy Głównej Policji udało się jednak zatrzymać trzech obywateli Gruzji, którzy, podszywając się pod dużych dostawców energii elektrycznej, wyłudzali dane umożliwiające logowanie do…

Podczas tegorocznej konferencji DEF CON Dennis Giese zaprezentował reverse engineering tzw. inteligentnych odkurzaczy produkowanych przez firmy Xiaomi i Roborock. Zapis prezentacji Robots with lasers and cameras (but no security): Liberating your vacuum został opublikowany na YouTubie. Badacz obecnie jest studentem Northeastern University; interesuje się inżynierią wsteczną. W prezentacji wyjaśniono, że…

Kilka dni temu dyrektor ds. zarządzania produktem (Messenger) Ruth Kricheli ogłosił dość ciekawe dla miłośników prywatności zmiany w komunikatorze Messenger: Pierwszą nowością jest szyfrowanie e2e (end-to-end) rozmów głosowych i wideo w Messengerze. W praktyce oznacza to, że nikt, w tym Facebook, nie powinien być w stanie podsłuchiwać treści naszych rozmów….

Researcherzy firmy Checkpoint wzięli jakiś czas temu pod lupę urządzenia Kindle firmy Amazon. Efekty ich pracy są bardzo ciekawe. Na podstawie ujawnionych podatności możliwe było przejęcie pełnej kontroli nad każdym tego typu urządzeniem. Po pobraniu na czytnik specjalnie spreparowanego e-booka (ileż to darmowych „okazji” krąży w sieci – tylko pobierać!)…

Jeśli jesteście posiadaczami urządzeń z systemami iOS czy macOS, to prawdopodobnie jedną z wartości, którą sobie cenicie, stanowi prywatność. Szczyci się nią sama firma Apple: Niestety, ostatnia zapowiedź Apple’a nie rokuje zbyt dobrze w kontekście dbałości o prywatność użytkowników iOS’ów i macOS’ów: Pamiętacie próby przeforsowania ustaw o dodaniu furtek w…

Po sukcesie pierwszej książki: Bezpieczeństwo aplikacji webowych (sprzedanych przeszło 16 000 sztuk), czas na drugą: Wprowadzenie do bezpieczeństwa IT. W założeniu książka kierowana jest do… wszystkich osób z IT :) i ma stanowić gładkie wprowadzenie do niemal każdego tematu, który można rozważać w ramach IT security. Przy czym nie ma…

Steam to jedna z największych i najpopularniejszych platform do dystrybucji cyfrowej gier komputerowych, stworzona przez Valve Corporation w 2003 roku. Jeśli jesteś graczem, to prawdopodobnie korzystasz z tego serwisu na co dzień… Oczywiście za gry w większości przypadków przyjdzie nam zapłacić, i to niemało, bo często nawet ~ 200 PLN:…

Jeśli myślicie, że włamanie na skrzynkę ministra Dworczyka stanowiło kompromitację na skalę światową, to ostatni incydent na Białorusi prawdopodobnie zmieni Waszą opinię: Jak informuje dziennikarz Tadeusz Giczan, grupie Białoruscy Cyberpartyzanci udało się włamać na serwery Ministerstwa Spraw Wewnętrznych Republiki Białorusi oraz tamtejszej policji. W ten sposób haktywiści przejęli między innymi…

Gigabyte Technology Co., Ltd. to tajwańskie przedsiębiorstwo zajmujące się produkcją sprzętu komputerowego. Firma znana jest przede wszystkim z wytwarzania płyt głównych, choć produkuje również urządzenia peryferyjne, sieciowe, notebooki oraz serwery: Jak się jednak okazało, firma Gigabyte padła ofiarą ataku grupy ransomware’owej RansomEXX: Kwota okupu nie jest jeszcze znana. Wiadomo jednak,…

Za sprawą ostatniej afery z Pegasusem wiele mediów niezwiązanych ze środowiskiem IT stworzyło swoistą aurę mitów na temat tego oprogramowania szpiegowskiego oraz samej firmy NSO Group. W związku z tym postanowiliśmy stworzyć artykuł, w którym szczegółowo omówimy genezę i sposób działania Pegasusa. Zaprezentujemy Wam również metodę na sprawdzenie, czy Wasze…