Publikujemy pierwszy z serii artykułów, które znajdą się w zaktualizowanym i poprawionym drugim wydaniu Poradnika obsługi incydentów. Tekst odpowiada m.in. na pytanie ~czy płacenie okupów jest legalne, nawet jeżeli zrobi to za was ~ubezpieczyciel. Artykuł powstał przy współpracy z kancelarią Rymarz Zdort Maruta. Autorami tekstu są Bartłomiej Wachta i Maciej…
Czytaj dalej »
Tym razem otrzymaliśmy od jednego z naszych Czytelników próbkę złośliwego oprogramowania wykradającego poświadczenia przechowywane w przeglądarkach i jest to stealer podobny do opisywanego już wcześniej. Nota bene: przed publikacją artykułu, wysłaliśmy powiadomienia do zespołów CERT Polska, CSIRT KNF oraz CERT Orange. Tak jak w poprzednim przypadku, malware rozsyłany jest e-mailami…
Czytaj dalej »
Poniżej subiektywny wybór newsów / ciekawostek / ostrzeżeń, które publikowaliśmy w styczniu 2023r. na sekuraku. Jeśli podoba się Wam zestawienie – podeślijcie linka znajomym oraz koniecznie dajcie znać w komentarzu. Jeśli Wasz odzew będzie pozytywny – będziemy kontynuować tego typu zestawienia (częściej niż raz na miesiąc :-) SEKURAK (scamy, ciekawostki,…
Czytaj dalej »
Do tej pory nasze publicznie raporty z testów bezpieczeństwa możecie pobrać tutaj, tutaj, tutaj czy tutaj (wszystkie te firmy wyraziły formalną zgodę na publikację raportów). Wszystkich komercyjnych projektów realizujemy całkiem sporo, w 2022 roku było to około 6500 pełnych dni hackowania (pentestowania), które dostarczyliśmy w ramach Securitum komercyjnie. Jeśli chciałbyś dla…
Czytaj dalej »
Server-Side Request Forgery – czyli zmuszenie serwera do zainicjowania pewnej komunikacji sieciowej. Przykład? Umieszczam na Facebooku link do zewnętrznego zasobu – Facebook łączy się do zadanego URL-a, pobiera jego zawartość, a następnie przedstawia ją użytkownikowi w zgrabnej formie. Całość wygląda całkiem bezpiecznie. W którym zatem miejscu występuje podatność? W zasadzie…
Czytaj dalej »
Tutaj krótka analiza użycia algorytmu PBKDF2 w Bitwardenie. W skrócie – odpowiednie użycie PBKDF2 znacznie zwiększa czas łamania głównego hasła do menadżera, w przypadku gdyby doszło do hipotetycznego ataku na jego infrastrukturę IT (podobnie jak miało to miejsce w przypadku LastPass). Ale żeby wszystko działało zgodnie z zamierzeniami, potrzebna jest…
Czytaj dalej »
Jeden z czytelników przesłał nam dzisiaj rano takie zdjęcie: Z ciekawostek – tutaj lokalizacja tego miejsca na Google Street View: Gdzie prowadzi QR kod? Do adresu: drive.proton[.]me (usługa storage cloudowego od Protona). Tam z kolei plik .doc: oświadczenie_o_cudzoziemcach_przebywających_w_rp.doc wyglądający mniej więcej tak: Czy plik jest złośliwy? Wygląda na to, że…
Czytaj dalej »
Wersja clickbaitowa: „dzięki WiFi można widzieć przez ściany„. No dobra, przez ściany nie można widzieć z wykorzystaniem WiFi, ale być może osiągnięcie tego celu jest blisko. Pod koniec zeszłego roku pokazano drona, który jest w stanie „widzieć” urządzenia WiFi, które znajdują się za ścianą budynku. „Widzieć”, w sensie wskazać ich…
Czytaj dalej »
Ciekawa podatność, za którą Google wypłacił $13337. Jeśli wczytacie się w opis problemu, to w zasadzie… nie ma tam żadnego hackingu. Badacz zaczął od prób dobicia się (z poziomu Internetu) do pewnego adresu IP Googla, ale nieskutecznie. Na drodze stawał ekran logowania (Google Proxy). Żadna próba obejścia nie działała, a…
Czytaj dalej »
W pierwszym kwartale 2023 mamy dla Was duży pakiet promocji od Securitum! Przede wszystkim rabaty na najbliższe szkolenia. Oprócz tego kilka nowości w formule „płać ile chcesz” oraz pakiety rosnących rabatów za zakup kilku szkoleń. Nadciąga też Cyberzbój v3. Przeczytajcie do końca. SZKOLENIA NA Q1 Wszystkie szkolenia są dostępne on-line,…
Czytaj dalej »
Zobaczcie appkę KeyDecoder (temat namierzony u @prywatnika). Wystarczy zrobić zdjęcie na tle obiektu o wielkości standardowej karty kredytowej i voilà: Twórca wyraźnie zaznacza, że dorabianie kluczy bez zgody właściciela jest nielegalne, a appka służy tylko celom edukacyjnym / legalnym zdaniom (np. pentesty): This Key Decoding app is meant to be…
Czytaj dalej »
Bohaterem są tanie urządzenia dostępne np. na Amazonie: Badacz zakupił je najpewniej na standardowe potrzeby (tj. oglądanie TV ;) ale postanowił nieco przeanalizować zdobyty okaz: This device’s ROM turned out to be very very sketchy — Android 10 is signed with test keys, and named „Walleye” after the Google Pixel…
Czytaj dalej »
Wyciek czyli co? Najczęściej jest to sytuacja, gdy ktoś otrzymał dostęp do bazy danych (np. aplikacji) i pobrał z niej loginy / hasła. Hasła (najczęściej) nie są przechowywane w formie jawnej. I w ten bardzo szybki sposób dochodzimy do sedna tego wpisu. W jaki sposób powinny być przechowywane hasła w…
Czytaj dalej »
W sieci ostatnio dość głośno w tematach z tytułu wpisu, spróbujmy jednak przyjrzeć się nieco głębiej sprawie. Jeśli chcesz poczytać tylko o narzędziu uzyskującym dostęp np. do skasowanych informacji np. z Signala – przejdź od razu do drugiej części tekstu. Zacznijmy od nowego prawa telekomunikacyjnego. Obecnie jest ono czytane na…
Czytaj dalej »
Jedna z czytelniczek napisała do nas w ten sposób: Zaczęło się od tego że mojej koleżance parę dni temu podczas przeglądania OLX w przeglądarce zaczął wyskakiwać dziwny komunikat. Więc moja koleżanka z racji tego, że jej telefon był już stary i już ledwo dyszał kupiła nowy telefon. Wczoraj koleżanka mi…
Czytaj dalej »