Zamów książkę sekuraka o bezpieczeństwo aplikacji www!

Aktualności

Są też Bug Bounty dla cyberprzestępców. Właśnie ktoś płaci równowartość 400 000 PLN za hackowanie banków, kompani paliwowych, …

18 listopada 2019, 22:54 | W biegu | komentarze 3
Są też Bug Bounty dla cyberprzestępców. Właśnie ktoś płaci równowartość 400 000  PLN za hackowanie banków, kompani paliwowych, …

Tutaj krótka relacja w temacie ogłoszenia oferującego ~100 000 USD za hackowanie stosownych celów. A cele te są polityczne: The idea is to pay other hackers who carry out politically motivated hacks against companies that could lead to the disclosure of documents in the public interest. I’m not trying to…

Czytaj dalej »

Rekonesans DNSSEC-a z wykorzystaniem… hashcata

18 listopada 2019, 13:37 | Aktualności | komentarze 3
Rekonesans DNSSEC-a z wykorzystaniem… hashcata

DNSSEC wielu osobom kojarzy się większym bezpieczeństwem usługi DNS. Tymczasem… różnie z tym bywa. Mało osób ma świadomość, że w przypadku korzystania z tej usługi dosyć łatwo można wykonać enumerację skonfigurowanych w DNS-ie nazw domen. Temat ten poruszamy w naszej książce jako jeden z wielu dotyczących możliwości realizacji rekonesansu poddomen:…

Czytaj dalej »

Krytyczna podatność w dwóch urządzeniach medycznych używanych również w polskich szpitalach

17 listopada 2019, 11:22 | W biegu | 0 komentarzy
Krytyczna podatność w dwóch urządzeniach medycznych używanych również w polskich szpitalach

Informację podał amerykański CERT, a chodzi o sprzęt Valleylab FT10 oraz Valleylab FX8. Jak widać – są one popularne również w Polsce. Jedno z nich służy do diatermii, drugie to „Platforma elektrochirurgiczna z systemem zamykania naczyń LigaSure oraz resekcją bipolarną”. W czym problem? Podatności mamy trzy, a finalnie można przez sieć,…

Czytaj dalej »

Zhackowali ich 20 razy. Dowiedzieli się o akcji dopiero jak skończyło się miejsce na dysku (atakujący przesadzili z dumpowaniem danych) [US]

15 listopada 2019, 15:40 | W biegu | komentarze 4
Zhackowali ich 20 razy. Dowiedzieli się o akcji dopiero jak skończyło się miejsce na dysku (atakujący przesadzili z dumpowaniem danych) [US]

Ciekawy przypadek wielokrotnego incydentu bezpieczeństwa opisuje Arstechnica. Firma była atakowana 20 razy w przeciągu 22 miesięcy. Atakujący uzyskał dostęp do danych około miliona klientów. Wśród zdobyczy były „zwykłe” dane osobowe, ale też trochę haseł w plaintext czy danych kart kredytowych. W końcu atakujący wzięli się za konkretne dumpowanie. Tak konkretne,…

Czytaj dalej »

Czy należy wymuszać okresową zmianę haseł? Mamy chyba ostateczne rozwiazanie problemu.

15 listopada 2019, 14:42 | Aktualności | komentarzy 41
Czy należy wymuszać okresową zmianę haseł? Mamy chyba ostateczne rozwiazanie problemu.

Temat powraca dość często, więc postanowiliśmy podsumować aktualny stan wiedzy. Otóż obecne branżowe rekomendacje nie zalecają regularnych (np. co 30 czy 180 dni) zmian haseł. Microsoft (Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903): Usuwamy polisy dotyczące wygasania haseł, które wymagają okresowych jego zmian. Kiedy użytkownicy są…

Czytaj dalej »

Wyciekły dane rekrutacyjne na studia [SGGW]. Imię/nazwisko, nazwisko rodowe, PESEL, nr dowodu osobistego, telefon i inne wrażliwe dane

15 listopada 2019, 13:54 | W biegu | komentarzy 25
Wyciekły dane rekrutacyjne na studia [SGGW]. Imię/nazwisko, nazwisko rodowe, PESEL, nr dowodu osobistego, telefon i inne wrażliwe dane

Informację o incydencie można przeczytać tutaj. Co się wydarzyło? Ukradziono jeden z komputerów pracownika SGGW, na którym były przechowywane dane z rekrutacji na studia za ostatnich kilka lat. Sam laptop nie miał skonfigurowanego szyfrowania dysku (co jest już kolejnym tego typu incydentem zgłoszonym w Polsce ostatnim czasie!). Dane, które dostały się w…

Czytaj dalej »

AI zsyntetyzuje dowolne zdanie „wypowiedziane” przez Ciebie. Wystarczy 5 sekund nagrania Twojego głosu. Zobacz demo.

14 listopada 2019, 20:32 | W biegu | komentarzy 6
AI zsyntetyzuje dowolne zdanie „wypowiedziane” przez Ciebie. Wystarczy 5 sekund nagrania Twojego głosu. Zobacz demo.

Zerknijcie tutaj (dostępne są nagrane 5-sekudnowe próbki + kilka zsyntetyzowanych fragmentów). Na początek została zrobiona gigantyczna praca polegająca na treningu systemu tysiącami realnych głosów. Po wykonaniu tego etapu wystarczy raptem 5 sekund nagrania głosu ofiary, aby zsyntetyzować wypowiedziane przez nią fejkowe zdania: Do czego może być to wykorzystane? Np. do scamów…

Czytaj dalej »

Wg NIK w polskich szpitalach ochrona wrażliwych danych nie jest słaba. Jest dramatyczna.

14 listopada 2019, 19:27 | W biegu | komentarzy 6
Wg NIK w polskich szpitalach ochrona wrażliwych danych nie jest słaba. Jest dramatyczna.

Pełna wersja raportu dostępna jest tutaj. Synteza tu. Nas siłą rzeczy interesują przede wszystkich problemy związane ze zbiorami elektronicznymi. Tutaj panuje cały czas przekonanie, będzie opublikowana procedurka kupiona za 50 zł w sklepie z procedurkami RODO i wszystko gra :-) To nie te czasy, a walczyć za pomocą jedynie procedur…

Czytaj dalej »

Centrum Onkologii we Wrocławiu: wyciekło ~200 000 rekordów danych osobowych.

13 listopada 2019, 22:31 | W biegu | komentarzy 7
Centrum Onkologii we Wrocławiu: wyciekło ~200 000 rekordów danych osobowych.

Jak informuje Gazeta Wrocławska: Sprawa dotyczy wszystkich pacjentów, którzy leczyli się w placówce od 2002 roku, a także pracowników. Ich dane wyciekły, ponieważ zginął laptop pracownika zewnętrznej firmy informatycznej, która współpracuje z Dolnośląskim Centrum Onkologii. Powodem opublikowania informacji o wycieku jest kradzież laptopa z firmy IT obsługującej placówkę (update: chodzi…

Czytaj dalej »

Uczniowie, marsz do [etycznego] hackowania miasta! Bydgoszcz za takie działania daje $$$

13 listopada 2019, 20:56 | W biegu | 1 komentarz
Uczniowie, marsz do [etycznego] hackowania miasta! Bydgoszcz za takie działania daje $$$

Miasto Bydgoszcz uruchomiło program, którego celem jest: Promocja działań „ethical haker”, „white hat hacker” jako idei wspierającej bezpieczeństwo organizacji. (…) Zwiększenie bezpieczeństwa systemów teleinformatycznych użytkowanych przez Miasto Bydgoszcz. Akcja kierowana jest do uczniów szkół podstawowych i ponadpodstawowych, a dla najlepszych hackerów przewidziane są nagrody pieniężne 1) 2000 zł 2) 1000…

Czytaj dalej »

Brave 1.0 dostępna – przeglądarka dla lubiących prywatność, a nie chcących rezygnować z Chrome (*)

13 listopada 2019, 19:06 | W biegu | komentarzy 12
Brave 1.0 dostępna – przeglądarka dla lubiących prywatność, a nie chcących rezygnować z Chrome (*)

Po przeszło 4 latach pracy, 13 listopada udostępniono przeglądarkę Brave w wersji 1.0. Przeglądarka oparta jest o Chromium (*), obiecuje kilkukrotnie szybszą pracę od Chrome (blokuję masę śmieci!) i Firefoksa, a co najważniejsze stawia na poważne podejście do prywatności użytkowników: Brave fights malware and prevents tracking, keeping your information safe…

Czytaj dalej »

Zombieload 2.0 – nowa seria podatności w procesorach Intela. Producent zaleca wgranie na procki nowego firmware

13 listopada 2019, 16:22 | Aktualności | komentarze 3
Zombieload 2.0 – nowa seria podatności w procesorach Intela. Producent zaleca wgranie na procki nowego firmware

O Zombieload pisaliśmy niedawno. W skrócie, atakujący będąc na serwerze, jest w stanie w sposób nieuprawniony wyciągać dane z procesora. Pomyślny teraz o maszynach wirtualnych czy nawet pojedynczym systemie operacyjnym (+ np. możliwości odczytania danych należących do innego użytkownika – np. admina). Małe demko tutaj: Intel załatał problemy, ale obecnie…

Czytaj dalej »