Termin: 16.07.2020, 20:20 (jeśli ktoś nie zdąży – można oglądać później nagranie). Bilety można zakupić tutaj. Pełna agenda poniżej :-) Maciej Kotowicz: w poszukiwaniu straconego czasu^W^W^W^W malware’u. Czyli analiza przykładowej kampanii malwareowej. Wybierzemy sie w droge na poszukiwanie ciekawej kampanii. A więc zaczynajac od poczatku jakim zazwyczaj jest dokument z niepożądaną treścią…
Czytaj dalej »
Film finalnie dostępny jest tutaj. To w sumie 3 godziny materiału i 15 prezentacji. Jeśli ktoś był (lub oglądnął – zachęcamy do wypełnienia ankiety tutaj). Pamiątkowy certyfikat uczestnictwa można opcjonalnie wykupić tutaj. Dla tych, którzy pierwszy raz słyszą o lightning sekurak hacking party. To nasz eksperymentalny pomysł z krótkimi prezentacjami (10…
Czytaj dalej »
Kiedy? 26.06.2020r, 20:00 -> ~23:00 Gdzie? https://www.youtube.com/watch?v=HPhXze8BpOc (pod tym linkiem będzie również nagranie, można też dołączyć na chwilę; nie ma limitu uczestników – nie zapomnijcie podesłać linku znajomym :-). Pod tym linkiem możecie sobie ustawić przypomnienie o wydarzeniu. Agenda? (patrz na film + opis na koniec tego postu). Koszt? Bezpłatnie….
Czytaj dalej »
Dopiero co pisaliśmy na Sekuraku o naszych badaniach mechanizmu kopiuj-wklej w popularnych przeglądarkach, a tymczasem pojawia się kolejny ciekawostka związana z tematem schowka. W iOS14 zostało dodane powiadomienie, gdy aplikacja próbuje próbuje pobrać zawartość schowka. Okazało się, że w trakcie pisania wiadomości w aplikacji TikTok, to powiadomienie jest wyświetlane praktycznie…
Czytaj dalej »
Trochę niezręcznie tłumaczyć od deski do deski całe, opasłe opracowanie przygotowane przez jednego z kluczowych pracowników Maersk – tutaj zatem tylko zajawka. notPetya to rok 2017, a wcześniej (jeśli chodzi o historię zaatakowanej firmy) nasz badacz opisuje grzechy, które można wskazać chyba w większości dużych organizacji – braki z kontrolą uprawnień…
Czytaj dalej »
Niemal skompletowaliśmy agendę całego wydarzenia (kolejność prezentacji na razie losowa). Każda prezentacja będzie skondensowanym lightning talkiem, a wszystko zaprezentujemy na Youtube (będzie też nagranie). Termin: 26.06.2020, 20:00. Całe lightning sekurak hacking party jest bezpłatne, ewentualnie – zupełnie opcjonalnie możecie dokupić sobie elektroniczny certyfikat uczestnictwa lub pakiet gadgetów. Zapisy: [wysija_form id=”30″]…
Czytaj dalej »
Ciekawe znalezisko w kontekście bezpieczeństwa API. Nieco zniecierpliwiony brakiem znalezisk w innym programie bug bounty, badacz postanowił sobie zrobić przerwę, a że były urodziny jego przyjaciela postanowił zakupić mu praktyczny prezent – kartę prezentową Starbucksa. Zakup zakupem, ale można trochę pogrzebać w żądaniach do API. Np. taki endpoint zwraca szczegóły…
Czytaj dalej »
Obiecaliśmy, że remote Sekurak Hacking Party będzie się odbywało dwa razy w miesiącu i tak to wygląda :-) Zachęcamy też do zakupu abonamentu – wtedy macie dostęp do wszystkich archiwalnych oraz przyszłych rSHP (do konkretnej daty do której obowiązuje abonament). Przechodząc do najbliższego wydarzenia w trakcie ~dwóch godzin planujemy dwie…
Czytaj dalej »
Przypomnijmy nieco wyświechtane powiedzenie: The s in IoT stands for security Chcecie tego konkretny przykład? Proszę. Badacz najpierw zlokalizował podatność klasy buffer overflow (w webserwerze urządzenia), która nie wymaga uwierzytelnienia. Zatem jeśli port zarządzania urządzeniem mamy wystawiony do Internetu – game over. Jeśli mamy go zamkniętego w sieci lokalnej –…
Czytaj dalej »
Chodzi o implementację TCP/IP używaną przez rozmaite urządzenia sieciowe: smart home devices, power grid equipment, healthcare systems, industrial gear, transportation systems, printers, routers, mobile/satellite communications equipment, data center devices, commercial aircraft devices Sam podatny software jest autorstwa mało znanej firmy Treck i ma on przeszło 20 lat. Był i jest…
Czytaj dalej »
Po naprawdę długim oczekiwaniu wydano kolejną „dużą” wersję znanego odzyskiwacza haseł. Mamy tu obsługę łamania aż 51 nowych algorytmów w tym nowe, bardzo szybkie sposoby na łamanie zip-ów. Z innych ciekawostek, pojawiło się wsparcie dla Bitlockera czy Android Backup. Dzięki optymalizacjom uzyskano też całkiem niezłe przyrosty wydajności, np. dla MD5 mamy…
Czytaj dalej »
Jeśli ktoś jeszcze nie zna naszej książki polecamy zerknąć tutaj. Przykładowe, darmowe rozdziały: tutaj i tutaj. Garść świeżych wrażeń czytelników o naszej książce: bezpieczeństwie aplikacji WWW: „Znakomicie napisana, perfekcyjnie wydana” „Gruba, tłusta i dobra jak kebab z budy :D” „Jak pożyczyłem książkę swojemu szefowi, to nie mogę się doprosić o zwrot….
Czytaj dalej »
Na wydarzenie możecie jeszcze zakupić bilet (zachęcamy również do zerknięcia na abonamenty dostępowe – z nimi jest również dostęp do wszystkich archiwalnych rSHP, które rozpisane są też pod tym linkiem). Agenda dzisiejszego wydarzenia (zaczynamy o 20:00, kto nie zdąży będzie mógł oglądnąć później – będzie nagranie): 1. Grzegorz Tworek – Opowieści hackera Windows: zajrzyj…
Czytaj dalej »
Pewnie kojarzycie tzw. nigeryski szwidel. TLDR: mam tutaj spadek 10 milionów USD, ale najpierw trzeba przelać 100k USD, bla bla bla. Nikt się na to przecież nie nabiera. Oh wait, Głos24.pl donosi o udanym dla przestępców (nieudanym dla ofiary) scenariuszu: rzekomy prawnik przekonywał, że sądeczanin jest jedynym spadkobiercą funduszu inwestycyjnego…
Czytaj dalej »
O sprawie donoszą lokalne (RPA) media: The breach resulted from the printing of the bank’s encrypted master key in plain, unencrypted digital language at the Postbank’s old data centre in the Pretoria city centre. (…)The master key is a 36-digit code (encryption key) that allows its holder to decrypt the…
Czytaj dalej »