-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Aktualności

Zdalne szkolenie od sekuraka – bezpieczeństwo aplikacji WWW – w rewelacyjnej cenie

05 marca 2020, 12:36 | Aktualności | komentarzy 12
Zdalne szkolenie od sekuraka – bezpieczeństwo aplikacji WWW – w rewelacyjnej cenie

Nieco eksperymentalnie uruchomiliśmy nasze topowe szkolenie z bezpieczeństwa aplikacji WWW w wersji zdalnej. Kurs prowadzi Michał Bentkowski. W kontekście jego researchu ostatnio pisał zachodni Forbes; parę miesięcy temu, na What The Hacku, jego prezentacja otrzymała 1 miejsce w ankietach uczestników (wszystkich prelekcji było około 100 – wiec konkurencja zażarta ;-)  Jeśli…

Czytaj dalej »

Warszawski sąd przyznał 500 PLN zadośćuczynienia mężczyźnie, który dostawał sporo spamu mailowego. Spam „burzył jego spokój wewnętrzny”.

04 marca 2020, 14:47 | W biegu | komentarzy 7
Warszawski sąd przyznał 500 PLN zadośćuczynienia mężczyźnie, który dostawał sporo spamu mailowego. Spam „burzył jego spokój wewnętrzny”.

Wydaje się, że w Polsce walka ze spamerami jest skazana na porażkę. Tymczasem „Gazeta Prawna” donosi o ciekawym wyroku warszawskiego sądu: Sprawa dotyczyła mężczyzny, który domagał się m.in. zasądzenia kwoty 500 zł tytułem zadośćuczynienia za naruszenie dóbr osobistych. Miało do niego dojść wskutek wysyłania przez pozwaną spółkę wiadomości na jego…

Czytaj dalej »

Let’s Encrypt dzisiaj unieważni 3 miliony certyfikatów SSL/TLS. Dotknięty był również sekurak. Sprawdźcie swoje domeny

04 marca 2020, 11:26 | W biegu | 1 komentarz
Let’s Encrypt dzisiaj unieważni 3 miliony certyfikatów SSL/TLS. Dotknięty był również sekurak. Sprawdźcie swoje domeny

Newsa obserwowaliśmy od kilku dni, a wczoraj my (oraz znaczna liczba innych osób) otrzymaliśmy maila z między innymi taką treścią: We recently discovered a bug in the Let’s Encrypt certificate authority code, described here. Unfortunately, this means we need to revoke the certificates that were affected by this bug, which…

Czytaj dalej »

OWASP Threat Dragon 1.0 – darmowe narzędzie do modelowania zagrożeń dla aplikacji webowych

03 marca 2020, 12:37 | W biegu | komentarzy 5
OWASP Threat Dragon 1.0 – darmowe narzędzie do modelowania zagrożeń dla aplikacji webowych

Po kilku latach rozwoju, niedawno dostaliśmy wersję 1.0 narzędzia Threat Dragon. O co chodzi w modelowaniu zagrożeń? W skrócie: często aplikacje webowe są tworzone bez żadnego pomysłu na bezpieczeństwo, czasem ten pomysł jest, ale wynika z punktowej inicjatywy danej osoby; przy dużych systemach jednak warto się kompleksowo zastanowić jakie są…

Czytaj dalej »

Włamał się do kamer CCTV nielegalnego call center scamującego ludzi. Demaskuje sposoby działania scammerów

03 marca 2020, 10:45 | W biegu | komentarzy 12

Pierwsza część dość ciekawej dokumentalnej serii dostępna jest tutaj: Jeśli z kolei potrzebujesz skrótu tekstowego, bardzo proszę: Jim Browning niezbyt lubi scammerów (przykład: wyskakuje Wam czerwony przeglądarkowy popup – „wykryto problem z komputerem – dzwoń na numer taki a taki – za drobną opłatą specjaliści usuną problem”) – więc postanowił…

Czytaj dalej »

Można było obejść funkcję „loguj przez Facebooka” – za zgłoszenie wypłacono nagrodę ~200 000 PLN)

01 marca 2020, 21:10 | Aktualności | komentarzy 11
Można było obejść funkcję „loguj przez Facebooka” – za zgłoszenie wypłacono nagrodę ~200 000 PLN)

W dzisiejszym odcinku #vulnz, mamy coś nieco bardziej skomplikowanego. Pewnie w wielu z Was kojarzy funkcję loguj się z wykorzystaniem Facebooka: Instagram, Netflix, Spotify czy rodzimy Wykop – to tylko kilka przykładów. Jak to działa? Na początek musimy jednorazowo potwierdzić, że chcemy korzystać z tej funkcji (jesteśmy przekierowani z danego serwisu…

Czytaj dalej »

Mapa zagłady w Counter-Strike: serwer plikiem BMP może wykonać dowolny kod na komputerze gracza

29 lutego 2020, 18:04 | W biegu | 1 komentarz
Mapa zagłady w Counter-Strike: serwer plikiem BMP może wykonać dowolny kod na komputerze gracza

Czy grając myśleliście kiedyś, że podłączanie się do „losowych” serwerów może nieść spore konsekwencje? Dzisiejszy odcinek #vulnz o tym przypomina :-) Zobaczcie tylko na tę podatność: „Malformed .BMP file in Counter-Strike 1.6 may cause shellcode injection”. Wystarczy że serwer prześle odpowiednio złośliwie przygotowany plik BMP (do opisu dołączono PoC-a odpalającego…

Czytaj dalej »

Ghostcat (CVE-2020-1938) – nowa podatność w Tomcacie. Można czytać pliki z serwera / czasem również wykonywać kod

28 lutego 2020, 18:14 | W biegu | 0 komentarzy
Ghostcat (CVE-2020-1938) – nowa podatność w Tomcacie. Można czytać pliki z serwera / czasem również wykonywać kod

W dzisiejszym vulnz podatność która przetrwała w Tomcacie przeszło 10 lat. W skrócie: jeśli na świat dostępny jest AJP Connector (domyślnie jest on uruchamiany i słucha na porcie 8009) – to możliwe jest czytanie plików z serwera (np. plików konfiguracyjnych, źródeł aplikacji). Dodatkowo możliwe jest czasem wykonanie kodu na systemie operacyjnym…

Czytaj dalej »

Zapraszamy na konferencję SEMAFOR w Warszawie (będzie również nasza prezentacja :)

28 lutego 2020, 13:51 | W biegu | 0 komentarzy
Zapraszamy na konferencję SEMAFOR w Warszawie (będzie również nasza prezentacja :)

Jeśli jeszcze nie zgłosiliście udziału, zapraszamy do udziału w XIII edycji konferencji SEMAFOR, która odbędzie się już za niecały miesiąc, 19-20 marca – tylko do końca tego tygodnia obowiązuje niższa cena! SEMAFOR to jedno z najważniejszych wydarzeń dotyczących świata bezpieczeństwa informacji i audytu IT w Polsce oraz idealne miejsce do zapoznania się z bieżącymi zagrożeniami i ciekawymi…

Czytaj dalej »

Kraków: pani Ewie ktoś zduplikował kartę SIM i wykradł 400 000 PLN.

27 lutego 2020, 21:21 | W biegu | komentarzy 18
Kraków: pani Ewie ktoś zduplikował kartę SIM i wykradł 400 000 PLN.

Kolejny przykład tzw. SIM swap opisuje Gazeta Krakowska. My niedawno pisaliśmy o analogicznym ataku, który wg relacji skutkował stratą o wartości około 200 milionów PLN. Wracając do głównego wątku – zacytujmy większy fragment: Pokrzywdzona, majętna mieszkanka Krakowa Ewa G. w czasie wakacji 2018 r. wyjechała do Szklarskiej Poręby. Nie miała…

Czytaj dalej »

Masz sprzęt od Zyxela? (firewall, NAS, …). 0day umożliwiający przejęcie admina dwoma znakami wpisanymi w login (!)

27 lutego 2020, 18:37 | W biegu | komentarze 2
Masz sprzęt od Zyxela? (firewall, NAS, …). 0day umożliwiający przejęcie admina dwoma znakami wpisanymi w login (!)

Jeśli tak dalej pójdzie, to nigdy nie zabraknie nam materiału do serii #vulnz (ciekawe, nowe podatności – w miarę możliwości codziennie na sekuraku). Bohaterem dzisiejszego odcinka jest firma Zyxel. Otóż w cenie $20 000 dystrybuowany był exploit na podatność klasy 0-day, umożliwiający dostanie się na urządzenia (wykonanie poleceń jako root) bez…

Czytaj dalej »

Kr00k (CVE-2019-15126) nowa podatność w WPA2 / WPA2 Enterprise umożliwiająca deszyfrowanie ruchu.

26 lutego 2020, 17:39 | Aktualności | komentarzy 5
Kr00k (CVE-2019-15126) nowa podatność w WPA2 / WPA2 Enterprise umożliwiająca deszyfrowanie ruchu.

Pamiętacie KRACK? (podatni byli klienci WiFi – np. laptopy, telefony, urządzenia IoT; całość polegała na tym, że wartość nonce – sprzecznie z definicją – można było używać nie-tylko-raz. Prowadziło to do możliwości deszyfracji ruchu WiFI). Problem załatano (patche po stronie klienckiej, zazwyczaj patche po stronie routerów WiFi nie były potrzebne…

Czytaj dalej »

Jak się w końcu zabrać za tego assemblera? Czyli MIPS w kontekście bezpieczeństwa – lekcja 2.

26 lutego 2020, 16:34 | W biegu | komentarze 3
Jak się w końcu zabrać za tego assemblera? Czyli MIPS w kontekście bezpieczeństwa – lekcja 2.

W kolejnym odcinku naszej serii przeanalizujemy pętlę for(), a także sprawdzimy, co odróżnia MIPSa od MIPSela. Będzie też bonus w postaci pracy domowej. Zacznijmy jednak od zadania domowego z lekcji 1. Praca domowa z lekcji 1. Rozwiązanie zadania 1 całkowicie pozostawiam Twojej ciekawości. Co do zadania 2 to przeanalizujmy sobie…

Czytaj dalej »

Firefox uruchamia DNS over HTTPS [US]. Pozostali mogą skonfigurować to ręcznie

26 lutego 2020, 13:03 | W biegu | komentarze 3
Firefox uruchamia DNS over HTTPS [US]. Pozostali mogą skonfigurować to ręcznie

Odwiedzasz serwisy z wykorzystaniem HTTPS? Bardzo dobrze, ale najpewniej zapytania do DNS, które realizuje Twoja przeglądarka realizowane są zwykłym plaintextem. Poza możliwością podrzucenia Ci fałszywej odpowiedzi (realizując atak klasy MiTM) firmy czy providerzy internetowi mogą łatwo analizować jakie domeny odwiedzają użytkownicy. Ma to też pozytywne strony – np. na podstawie…

Czytaj dalej »