Mowa o grupie STRONT, zwanej też jako Fancy Bear/APT28. Jeśli ktoś chce zerknąć na przykładową akcję hakerską organizowaną przez tę grupę, niech zerknie tutaj: „Siergiej ruszaj dupę!!! Kliknęli w linka, wbijaj się bistro na tę drukarkę i jedziemy dalej!„. W każdym razie Microsoft donosi: At least 16 national and international sporting…
Czytaj dalej »
Mowa o książce „Bezpieczeństwo aplikacji webowych„, której w ramach przedsprzedaży sprzedaliśmy około 3900 sztuk, w niecały miesiąc. Książka jest idealna dla osób, które chcą „coś” wiedzieć o bezpieczeństwie aplikacji webowych (programistów, testerów), ale też dla doświadczonych pentesterów – obiecujemy, że ci ostatni też poznają sporo ciekawych smaczków ;-) Tak czy…
Czytaj dalej »
Hak5 udostępniło kolejny ciekawy produkt nadający się idealnie do fizycznych testów bezpieczeństwa. Przechodzimy korytarzem, wpinamy Shark Jacka do gniazdka sieciowego. Jeśli wszystko gra (przede wszystkim urządzenie dostanie adres IP), możemy już zdalnie buszować po sieci: Do urządzenia zapewniony jest dostęp przez appkę mobilną, choć możemy użyć również po prostu ssh:…
Czytaj dalej »
![Jesteś uczniem? Możesz legalnie pohackować i wygrać $$$ [CTF]](https://sekurak.pl/wp-content/uploads/2019/10/Zrzut-ekranu-2019-10-29-o-07.14.58-150x150.png "Jesteś uczniem? Możesz legalnie pohackować i wygrać $$$ [CTF]")
Inicjatywa dostępna jest tutaj: https://153plus1.pl/. Jan Kostrzewa, Dyrektor Biura Bezpieczeństwa w Ministerstwie Sprawiedliwości pisze o projekcie tak: Pomysł wziął się z obserwacji, że choć Polacy odnoszą niemałe sukcesy w ogólnoświatowych zawodach CTF, to sama formuła nie jest jeszcze szeroko rozpowszechniona w naszym kraju. Dragon Sektor czy P4 regularnie walczą o podium…
Czytaj dalej »
Nietypową sytuację z Mińska Mazowieckiego relacjonuje Polsat. W skrócie: Szedłem z pokoju do kuchni i usłyszałem nietypowy szum. (…) Po kilku minutach zauważałem wypływ wody spod wanny. Zamknąłem zawory na pionie. Awaria zdarzyła się pod kafelkami, które odbudowują wannę, zawinił przewód – opowiada pan Daniel. Zdarza się prawda? Zazwyczaj o…
Czytaj dalej »
Krótka, ale dość niemiła i dla niektórych zaskakująca historia: 24-latek był pracownikiem wypożyczalni samochodów. Dzięki temu miał dostęp do bazy danych klientów. Wykorzystując te dane zakładał firmy, następnie występował do banku o przyznanie debetu lub kredytu. Pożyczki brał też w instytucjach para bankowych. Dodał, że dotychczas policja ustaliła 10 pokrzywdzonych,…
Czytaj dalej »
Temat zahaczający o socjotechnikę nie jest całkiem nowy, ale kolejne ekipy próbują tego tricku: Podjeżdżają pod dom i obiecują szybką naprawę po kosztach. W tym przypadku miało to być 250 zł. Po wykonanej usłudze, jak się następnie okazało, miała to być kwota c. 5000 zł, czyli wielokrotnie przewyższająca umówione wcześniej…
Czytaj dalej »
Ciekawe i zarazem aktualne od wielu lat spostrzeżenie. Przykłady lokalizacji samochodów w Google w Polsce? Proszę bardzo: tutaj mamy samochód o niezamazanej tablicy rejestracyjnej: ZS 451KG. Proste zapytanie do Google Images: Może dla odmiany policja? Proszę bardzo (HPC A938) – możemy już zobaczyć kilka akcji z udziałem tego samochodu: Czy…
Czytaj dalej »
Międzynarodową stronę BBC można oglądać tutaj: bbcnewsv2vjtpsuy.onion (może przydać się Tor Browser). Posunięcie ma na celu ominięcie cenzury – wskazywane są tutaj wprost takie kraje jak: Chiny, Iran czy Wietnam. I rzeczywiście mamy w tym przypadku piękny przykład podążania za jednym ze sztandarowych haseł przyświecających projektowi Tor: Defend yourself against tracking and surveillance….
Czytaj dalej »
Pomysł na hotel dość ciekawy…Tymczasem jeden z gości doniósł że można jeden z robotów (znajdujących się w pokoju) wgrać nieautoryzowany własny kod, który zapewni zdalny dostęp do streamu video z pokoju: It has been a week, so I am dropping an 0day. The bed facing Tapia robot deployed at the…
Czytaj dalej »
Ożywa kampania która była już realizowana parę miesięcy temu. Jeden z czytelników podesłał nam taką relację (opublikowaną na jednej z facebookowych grup): No właśnie, przedłużenie bezpłatnej przecież usługi za jedyne 300 zł ? Fakturka za takę usługę też wygląda na grubymi nićmi szytą: Płatność u kuriera… hmmmm. Z jednej strony…
Czytaj dalej »
![Office365 – jak bruteforcować poprawne e-maile? [phishing!]](https://sekurak.pl/wp-content/uploads/2019/10/jest2-150x150.png "Office365 – jak bruteforcować poprawne e-maile? [phishing!]")
Ciekawe spostrzeżenie w formie gotowego skryptu można zobaczyć tutaj. Microsoft udostępnia pewien endpoint API, który zwraca informację czy dany adres e-mail jest dostępny w ramach Office365 czy nie: /autodiscover/autodiscover.json/v1.0/{EMAIL}?Protocol=Autodiscoverv1 Odpowiedź HTTP 200 oznacza, że e-mail jest zarejestrowany. Co ciekawe nie wymaga to podania nazwy firmy, nie ma ograniczenia na liczbę…
Czytaj dalej »
Jak zdobyć za darmo naszą książkę o bezpieczeństwie aplikacji webowych? Zerknijcie na linkowaną stronę sklepu – gdzieś na niej macie ukryte dwa kody. Wystarczy podesłać kod na sklep@securitum.pl i… jeśli jesteś jedną z dwóch pierwszych osób, która wyśle dany kod (kody muszą być poprawne ;p) – dostaniesz bezpłatnie książkę. Jeśli…
Czytaj dalej »
Nowy Tor Browser bazuje na Firefoksie 68 ESR. Postawiono na usprawnienie interfejsu i ściślejszą integrację elementów związanych z Torem w samej przeglądarce: Przeglądarka startuje też w rozmiarze będącym wielokrotnością 200x100px. Co ze zmianą rozmiaru przez użytkownika (czy maksymalizacją na pełen ekran) ? Tutaj stosowany jest tzw. letterboxing (specjalne dodawanie szarych marginesów…
Czytaj dalej »
Sprawa jak w tytule, a temat opisuje serwis epoznań: Jak informuje PAP, 18-latek w sierpniu ubiegłego roku zamówił przez internet fałszywe pieniądze. Chciał w ten sposób „podreperować” swój budżet. Miał otrzymać ponad 100 banknotów o nominałach 50 i 100 złotych. Budżet początkowo był „niepodreperowany”, więc nasz bohater postanowił zapłacić za…
Czytaj dalej »
