Amerykańska agencja Cybersecurity and Infrastructure Security Agency (CISA) dodała krytyczną lukę w GitLab do katalogu aktywnie wykorzystywanych podatności. O samej podatności, której przydzielono identyfikator CVE-2023-7028, informowaliśmy w styczniu. Dla przypomnienia – w podatnych wersjach GitLab, napastnik jest w stanie przejąć istniejące konto poprzez wykorzystanie funkcji resetu hasła i wysłanie maila na kontrolowany…

Cisco Talos oraz zespół reagowania na incydenty w produktach Cisco (PSIRT) otrzymały jakiś czas temu zgłoszenie od klienta, który odkrył pewne anomalie na swoich routerach brzegowych. Takie znalezisko od razu wzbudziło podejrzenia po stronie producenta, ponieważ dostęp do urządzeń brzegowych dałby atakującym olbrzymie możliwości podsłuchiwania ruchu, jego przekierowania lub pivotu…

Narzędzia takie jak Postman ułatwiają deweloperom nie tylko budowanie i testowanie API, ale także współdzielenie pogrupowanych zbiorów zapytań i ich konfiguracji (adresy URL, parametry, rodzaje uwierzytelnienia, nagłówki etc) w postaci tzw. kolekcji. Dzięki temu dokumentowanie interfejsów programistycznych aplikacji webowych jest bardzo proste, co przyspiesza rozwój oraz zachęca innych deweloperów do…

Za nieco więcej niż trzy tygodnie (20.05.2024 r.) odbędzie się pierwsza w tym roku, zdalna edycja kultowej imprezy dla entuzjastów cyberbezpieczeństwa – Mega Sekurak Hacking Party. Wpis do krótkich nie należy, ale zapewniamy, że warto przeczytać do końca. Zobaczycie co dla Was przygotowaliśmy, poznacie agendę i naszych prelegentów, dowiecie się…

Zapraszamy Was na piąty odcinek MSHP Express, czyli zapowiedzi prelegentów na majowe Mega Sekurak Hacking Party. Tomek Turba zaprasza na prezentację o OSINT i sztucznej inteligencji (AI). Opowie w jaki sposób dynamicznie zmieniający się biały wywiad uległ dalszym zmianom przez jeszcze bardziej dynamicznie rozwijane zagadnienia sztucznej inteligencji. Już 20 maja 2024…

McAfee na swoim blogu opisuje nowy wariant RedLine stealera. Tym razem złośliwe oprogramowanie celuje w graczy, a dodatkowo wykorzystuje parę ciekawych sztuczek. Malware udaje Cheat Engine, czyli oprogramowanie do wprowadzania różnego rodzaju modyfikacji w grach poprzez zmianę zawartości pamięci. Pierwsze co zwraca uwagę, to ciekawy zabieg socjotechniczny wykorzystywany do rozprzestrzeniania się. Podczas…

Nie ma dziś chyba programisty, który nie słyszał o projekcie Mozilla Foundation, języku programowania Rust, który zdobywa serca kolejnych developerów. Język ten dorobił się sporej grupy fanów, a dzięki cechom takim jak memory safety oraz type safety trafił do kernela systemu Linuks. Cechy te utrudniają programistom pisanie kodu, który mógłby…

TLDR: na PLNOG będziemy mieć prezentację o hackowaniu IoT :-) A z kodem: SEKURAK15 jest 15% offu: https://eventory.cc/event/plnog-32/tickets Już 13-14 maja w krakowskim hotelu Galaxy odbędzie się trzydziesta druga edycja konferencji PLNOG. Zapraszamy do udziału w wydarzeniu, podczas którego nie zabraknie merytorycznych wykładów najlepszych specjalistów z branży IT oraz ICT,…

AI na dobre zagościło w zestawie narzędzi wspierających współczesnych pracowników. Boom na tę technologię nie ominął też samego IT, gdzie co rusz słychać głosy i reklamy nowych produktów opartych o duże modele językowe (ang. LLM). Są takie, które pozwalają pisać kod na podstawie opisu funkcjonalności, dokonywać transkrypcji tekstu mówionego czy…

Nexperia – chińska firma produkująca półprzewodniki ujawniła, że stała się ofiarą ataku ransomware, co odkryto w marcu tego roku. O ataku najpierw poinformowała grupa Dunghill Leak, umieszczając Nexperie na swojej stronie w Darknecie jako najnowszą ofiarę. Oprócz samej informacji, jako dowód zamieszczono szereg skradzionych poufnych dokumentów, w tym zdjęcie paszportowe…

Zapraszamy Was na czwarty odcinek MSHP Express, czyli zapowiedzi prelegentów na majowe Mega Sekurak Hacking Party. Prezentujemy Mateusza Wójcika, który podczas MSHP opowie o bezpieczeństwie sektora automotive. Bilety na imprezę możecie kupić tutaj: https://sklep.securitum.pl/mshp-maj-2024 Więcej informacji o samym wydarzeniu znajdziecie również na stronie hackingparty.pl~Łukasz Łopuszański

Od kilku dni krążyły pogłoski o rzekomym ataku RCE (Remote Code Execution) w kliencie komunikatora Telegrama dla komputerów z Windows. Okazały się prawdziwe, mimo pierwotnych zaprzeczeń ze strony twórców Telegrama. Przyczyną błędu była literówka w kodzie, dokładnie na liście rozszerzeń zawierających listę plików wykonywalnych. Na szczęście wykorzystanie podatności wymaga zarówno interakcji ze strony…

Mam wrażenie, że mało kto słyszał o open-source’owym projekcie secureCodeBox, spod znaku OWASP. W sumie to się nie dziwię, bo ja pierwszy raz usłyszałem o nim kilka miesięcy temu, kiedy aplikowałem na stanowisko związane z obszarem Application Security, które akurat miało w dodatkowych wymaganiach znajomość tego narzędzia. W rezultacie poznałem…

Przyszłość rynku open source, konteneryzacja, data engineering i najnowsze trendy w bezpieczeństwie oprogramowania – to główne tematy 13. Edycji Open Source Day, która odbędzie się 18 kwietnia w Warszawie. Organizatorem konferencji jest Linux Polska – lider otwartych technologii na polskim rynku. Rejestracja na wydarzenie jest już otwarta. Już 18 kwietnia…

Skoro działa, to lepiej nie dotykać! Magiczne zdanie często wypowiadane przez administratorów. Szczególnie dotyczy to obszarów, do których admini nie chcą się nawet zbliżać. Jednym z takich obszarów jest Infrastruktura klucza publicznego (PKI). Windowsowe PKI ma swoją specyfikę, wynikającą z automatyzacji sprawiającej, że nawet dobrzy fachowcy od PKI w Internecie mogą okazać się…